Если вы не видите здесь изображений, то используйте VPN.

среда, 28 сентября 2016 г.

Al-Namrood, Al-Namrood 2.0

Al-Namrood Ransomware 

Al-Namrood 2.0 Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. Сумма выкупа: 1-10 BTC. 



Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление. Al-Namrood 2.0
Файлы имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Файлы имеют случайное расширение по шаблону
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:


Обновление от 2 ноября 2016. Al-Namrood 2.0: 
Расширение:
.not_available
Тема на форуме >>

Обновление от 20 ноября 2016Al-Namrood 2.0: 
Расширение: .NOT_AVAILABLE

Обновление от 24 ноября 2016Al-Namrood 2.0: 
Расширение: .ciphered
Email: kevinrobinson@inbox.ru
➤ Содержание записки о выкупе: 
Hello. Bad news!
All your files was encrypted with strong algorithm AES256 and unique key.
To recover all files you need to get special decryption software and personal key.
You can contact me via email: kevinrobinson@inbox.ru
You can contact me via email: kevinrobinson@inbox.ru
Your ID:  958A6CA2GB
Please use public mail service like gmail or yahoo to contact me, because your messages can be not delivered.
You have a 72 hours to contact me, otherwise recovering may be harder for you.
Regards,
Kevin Robinson.

Обновление от 27 ноября 2016Al-Namrood 2.0: 
Топик на форуме >>
Расширение: .access_denied
Составное расширение: .ID-1A234567AU[decryptgroup@inbox.ru].access_denied
Email: decryptgroup@inbox.ru, decryptgroup@india.com
Jabber: decryptgroup@xmpp.jp
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and personal key.
You can contact us:
Primary Email: decryptgroup@inbox.ru
Reserve Email: decryptgroup@india.com
Your Personal ID: 1A234567AU
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write to us in Jabber: decryptgroup@xmpp.jp
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 декабря 2016:
Пост на форуме >>  
Пост на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Составное расширение: .ID-XXXXXXXXXX[cryptsvc@mail.ru].abcdefghijk
Записка: Infection.TXT
Jabber (It is not Email !!!): cryptsvc@securejabber.me
Email: cryptsvc@mail.ru
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
cryptsvc@mail.ru
Your Personal ID: ***
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 марта 2017:
Топик на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Пример составного расширения: .ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Email: crypt32@mail.ru
Jabber: crypt32@jabber.ua
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
crypt32@mail.ru
Your Personal ID: ADC2B179SA
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): crypt32@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Последнее обновление: 
Пост на форуме >>
Вымогательский проект Al-Namrood был закрыт 09.05.2017
Для связи предлагались контакты:
Email: crypt64@mail.ru
Jabber: crypt32@jabber.ua



ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Для более новых вариантов может не подойти.
Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
*
 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 quietman7

© Amigo-A (Andrew Ivanov): All blog articles.

Erebus

Erebus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на специальную страницу для получения инструкций по оплате выкупа и программы дешифровки. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ecrypt
Зашифрованные файлы принимают вид: {hash}.ecrypt

Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_HAS_BEEN_ENCRYPTED.txt
YOUR_FILES_HAS_BEEN_ENCRYPTED.html

Содержание записки о выкупе:
Warning!
Your documents, photos, databases, important files been encrypted!
What happened to your files?
  All of your files were protected by a strong encryption whit RSA-2048.
  More information about the encryption keys using RSA-2048 can be found here. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
What does this mean?
  This means that the structure and data within your files have been irrevocably changed. You will not be able to work with them, read them or see them.
  It is the same thing as losing them forever. But with our help, you can restore them.
How did this happen?
  Especially for you. On our server was generated the secret key pair RSA-2048 public and private.
  All your files were encrypted with the public key. Which has been transferred to your computer via the Internet.
  Decrypting of your files is only possible with the help of the private key and decrypt program. Which is on our secret server.
What do I do?
  If you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data.
  Then we suggest you do not waste valuable time searching for other solutions because they do not exist.
Remember that your machine ID:
For more specific instructions please visit your personal home page. There are a few different addresses pointing to your page below:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
If the above address will be unable to open or very slow, follow these steps:
  1. Download and install the tor browser. 
  2. After successful installation, run the browser, waiting to initialize.
  3. In the address bar enter: 
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Перевод записки на русский язык:
Предупреждение!
Ваши документы, фото, базы данных, важные файлы были зашифрованы!
Что случилось с файлами?
  Все ваши файлы были защищены с помощью сильного шифрования RSA-2048.
  Более подробную информацию о ключах шифрования используя RSA-2048 можно найти здесь. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
Что это значит?
  Это значит, что структура и данные в файлах безвозвратно изменены. Вы не сможете работать с ними, читать их или видеть их.
  Это то же самое, как потерять их навсегда. Но с нашей помощью вы можете восстановить их.
Как это произошло?
  Специально для Вас. На нашем сервере был создан секретная ключ-пара RSA открытый и закрытый.
  Все ваши файлы были зашифрованы с помощью открытого ключа. Который был передан на компьютер через Интернет.
  Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки. Который находится на нашем секретном сервере.
Что мне делать?
  Если вам не принять необходимые меры, в течение определенного времени, то будут изменены условия для получения секретного ключа. Если вы действительно цените ваши данные.
  Тогда мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Запомните ID вашей машины:
Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу. Ниже есть несколько различных адресов, указывающих на вашу страницу:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
Если вышеуказанный адрес будет невозможно открыть или очень медленно, выполните следующие действия:
  1. Загрузите и установите Tor-браузер.
  2. После успешной установки, запустите браузер, ждите инициализации.
  3. В адресной строке введите:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Распространяется или может распространяться через вредоносную рекламу, с помощью email-спама и вредоносных вложений, набора эксплойтов RIG, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .ascx, .asf, .asm, .asp, .aspx, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lck, .ldf, .lit, .lock, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm, .pm!, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbb, .tbn, .tex, .tga, .thm, .tif, .tlg, .tlx, .txt, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (423 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы бэкапов, общие папки и пр.

Нужно заметить особо, что шифрование затрагивает следующие папки:
%Program Files%\steam
%Application Data%\roaming\microsoft\office
%Application Data%\roaming\microsoft\outlook

Из шифрования исключаются папки, имеющие следующую строку: 
C:\$recycle.bin
C:\$windows.~bt
C:\boot
C:\drivers
%Program Files%
%Program Data%
%User Profile%
%Windows%
C:\windows.old
%AppDataLocal%
%AppDataLocalLow%
%Application Data%\adobe\flash player
%Application Data%\ati
%Application Data%\google
%Application Data%\identities
%Application Data%\installshield
%Application Data%\intel
%Application Data%\macromedia\flash player
%Application Data%\media center programs
%Application Data%\microsoft
%Application Data%\mozilla
%Application Data%\nvidia
%Application Data%\opera
\public\music\sample music
\public\pictures\sample pictures
\public\videos\sample videos
\tor browser

Из шифрования также исключаются следующие файлы:
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
thumbs.db
wallet.dat

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Файлы, связанные с этим Ransomware:
<random>.exe
%User Startup%\DECRYPT.txt - файл сведений для дешифрования;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.html - записка о выкупе;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.txt - записка о выкупе;
%Application Data%\{random_alphanumeric_chars 1}.conf- список всех директорий для шифрования;
%Application Data%\{random_alphanumeric_chars 2}.conf - содержит открытый ключ;
%Application Data%\{random_alphanumeric_chars}.res - список файлов для шифрования.

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GoogleChromeAutoLaunch_{random_alphanumeric_chars} = "{malware path}"
См. ниже результаты анализов.

Сетевые подключения и связи:
***o.com/data/files/184228721522.php
***ung.kr/upload/file/54874544154.php
***on.kr/gmEditor/uploaded/img/125687499.php
***wsb5cxo671abtrsg.j57xi.top
***nicc3j2o5rtsllvw.j57xi.top


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID as Erebus)
*
 Thanks: 
 Jeanne Jocson (TrendMicro)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 27 сентября 2016 г.

Locky-Odin

Locky-Odin Ransomware

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель является новой версией крипто-вымогателя Locky, отличающейся по ряду признаков. 

Locky
This Locky's logo was developed on this site


 © Генеалогия: Locky > Locky-Odin

К зашифрованным файлам добавляется расширение .odin.

Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация. 

Распространённость Locky (к октябрю 2016)

Записки с требованием выкупа называются:
_HOWDO_text.html
_HOWDO_text.bmp
_[2_digit_number]_HOWDO_text.html

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser: 
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!

  Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.


Команда, которая выполняется для запуска DLL:
rundll32.exe %Temp%\[name_of_dll],qwerty

Примеры писем:
Dear [Receiver_name], 
Please find attached documents as requested.
---
Best Regards,
[Sender name]
Our sincere apology for the incorrect invoice we sent to you yesterday. 
Please check the new updated invoice #3195705 attached. 
We apologize for any inconvenience. 
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения). 


Гибридный анализ >>
Детект на VirusTotal >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.

Read to links:
Write-up
 Thanks:
 Lawrence Abrams
 MyOnlineSecurity
 

© Amigo-A (Andrew Ivanov): All blog articles.

DXXD

DXXD Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные на сервере, а затем требует связаться по почте с экспертом вымогателей, чтобы вернуть файлы. Название получил от добавляемого окончания. Есть сведения о том, что это разработка украинских вымогателей, как и CrySiS, Dharma, Apocalypse, ODCODCPhobos и другие. 

К зашифрованным файлам добавляется dxxd (без точки). Таким образом файл picture.jpg станет picture.jpgdxxd

Записки с требованием выкупа называются: ReadMe.TxT

Содержание записки о выкупе:
Dear owner, bad news!!!!
Your SERVER [hacked], and file's [ENCRYPTED]!
If you need back files and recommendation's,
to protect your file's and server, write to e-mail:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
If don't answer on e-mail? Write to [jabber]:
what's jabber?
GUIDE : xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-
pidgin-the-universal-messaging-client/
Programm : xxxxs://pidgin.im/download/
Register account : xxxxs://www.xmpp.jp or xxxxs://rows.io/ or your custom.
Add me : [one_weaJc@rows.io]
And so, write me.
Sorry.

Перевод записки на русский язык:
Уважаемый владелец, плохая новость !!!!
Ваш СЕРВЕР [взломан], и файлы [ЗАШИФРОВАНЫ]!
Если вам нужно вернуть файлы и рекомендации,
для защиты ваших файлов и сервера, пишите на email:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
Если нет ответа на email? Пишите [jabber]:
Что такое jabber?
ГИД: xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Программа: xxxxs://pidgin.im/download/
Регистрация аккаунта: xxxxs://www.xmpp.jp или xxxxs://rows.io/ или ваш.
Добавьте меня: [one_weaJc@rows.io]
И так, пишите мне.
Извините.

У некоторых пострадавших наблюдалось изменение экрана входа в Windows на следующий:

Содержание текста с экрана:
Microsoft Windows Security Center. Dear Administrator, YOUR server is attacked by hackers.
For more informations and recommendations, write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de
When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software. And write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

Перевод текста на русский язык:
Центр безопасности Microsoft Windows. Ув. Администратор, ваш сервер атакован хакерами.
Для подробной информации и рекомендаций пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de
При запуске Windows, Windows Defender работает, чтобы защитить ваш ПК проверкой на вредоносное или нежелательное ПО. Пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, с помощью хакерских атак путём взлома. 

➤ Шифрует файлы на всех дисках и сетевых ресурсах. 

Список файловых расширений, подвергающихся шифрованию:

.7z, .bat, .cmd, .css, .doc, .docx, .fpt, .html, .jar, .jpe, .jpeg, .jpg, .js, .log, .mp4, .mpeg, .php, .png, .pptx, .psd, .rar, .rtf, .tif, .txt, .wav, .xml, .xls, .xlsx, .zip (29 расширений).

Файлы, связанные с DXXD Ransomware:
ReadMe.TxT
<ransom>.exe

Результаты анализов:
Hybrid анализ >>

VirusTotal анализ >>
Symantec: Ransom. DXXD >>

Степень распространённости: средняя.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2016:
Версия: DXXD-2
1. Изменение экрана входа в Windows теперь у всех пострадавших. 
2. Записи реестра, связанные с этой версией DXXD Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
Текст вымогателей: 
Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"

When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software.
3. Новые email вымогателей:
rep_stosd@protonmail.com
rep_stosd@tuta.io





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть дешифровщики
Скачать DXXDDecrypter >>
Скачать DXXD2 Decrypter >> (от 21 окт.)
Read to links:
ID Ransomware
Topic on BC + Write-up on BC (added on Oktober 10, 2016)
 Thanks:
 Michael Gillespie (‏Demonslay335)
 Lawrence Abrams on BleepingComputer
 Fabian Wosar on Emsisoft

© Amigo-A (Andrew Ivanov): All blog articles.

Princess Locker

Princess Locker Ransomware

Princess Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3 биткоина (равны $ 1800), чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа удваивается до 6 биткоинов. Название получил от использованного логотипа Princess на сайте уплаты выкупа. Оригинальное название: Rule donkey. Разработчик: Pelican Products. 

© Генеалогия: Princess Locker > Princess Locker-2



К зашифрованным файлам добавляется случайное расширение, например, .1igw или .1cbu1. Шаблон: .[4-5_random_char]. Число знаков может быть и больше, просто в примерах были 4 или 5 знаков. 

Активность этого криптовымогателя пришлась на сентябрь 2016 г. 

Записки с требованием выкупа называются:
!_HOW_TO_RESTORE_[4-5_random_char_extension].TXT
!_HOW_TO_RESTORE_[4-5_random_char_extension].html
!_HOW_TO_RESTORE_[4-5_random_char_extension].url

Содержание записки о выкупе:
Your files are encrypted!
Your ID: ***
You can unlock .1igw files using these instructions: 
1) Read decrypting instructions on our website: 
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) If you can't access these websites from your browser, you have to download TOR browser: https://www.torproject.org/projects/torbrowser.html
3) Follow this link via Tor Browser: http://6s2a2qa6sdoz4sjt.onion

Перевод записки на русский язык:
Твои файлы зашифрованы!
Твой ID: ***
Ты можешь разблокировать .1igw файлы, используя эти инструкции:
1) Прочитай инструкции дешифрования на нашем сайте:
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) Если не можешь получить доступ к этим сайтам с помощью браузера, то нужно загрузить Tor-браузер: https://www.torproject.org/projects/torbrowser.html
3) Перейди по этой ссылке в Tor-браузере: http://6s2a2qa6sdoz4sjt.onion


Сайт уплаты выкупа имеет флажки-ссылки на 12 языках, которые предлагается выбрать жертве для уплаты выкупа. Что очень похоже на сайт Cerber Ransomware. Сначала надо выбрать свой язык, затем ввести полученный ID в открывшейся странице. С несуществующим ID нужная страница не откроется. Один файл предлагают дешифровать бесплатно. 

Примечательно, что вымогатели в инструкциях по оплате используют редкий термин "fiat currency" (фиатные деньги, фиатная валюта), значение которого мало кто знает.  

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .xls, .xlsx и др.

Файлы, связанные с этим Ransomware:
!_HOW_TO_RESTORE_[extension].TXT
!_HOW_TO_RESTORE_[extension].html
!_HOW_TO_RESTORE_[extension].url
<random_name>.EXE
RxWis.exe

Записи реестра, связанные с этим Ransomware:
См. результаты анализов.

Сетевые подключения:
myexternalip.com
6s2a2qa6sdoz4sjt.onion

cxufwls2xrlqt6ah.onion.link
103.198.0.2


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ EXE >>
VirusTotal анализ DLL >>
Symantec: Ransom.PrincessLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 16 февраля 2017:


Пост в Твиттере >>
Записка: @_USE_TO_FIX_JJnY.txt
Адрес: oat3viyjqoyqh3ck.onion
Скриншот сайта 








Обновление от 23 августа 2017:
Записка: !_HOW_TO_RESTORE_*.TXT
<< Две страницы Tor-сайта вымогателей
Tor-URL: royall6qpvndxlsj.onion
Содержание текста с сайта: 
Your files are encrypted!
Log into secure area to proceed with decrypting your personal data.
Your personal ID can be found in the text file «!_HOW_TO_RESTORE_*.TXT» which is stored on your PC.


***


ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер
Read to links: 
Write-up on BC
Topic on BC
ID Ransomware
Recent additions:
Write-up on Malwarebytes
Video review by shaheresade
Princess Locker decryptor
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 hasherezade

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *