суббота, 17 декабря 2016 г.

Fake Globe

Fake Globe Ransomware

GlobeImposter, GlobeImposter 2.0

(группа шифровальщиков-вымогателей)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название получил из-за подражания крипто-вымогателю Globe.

Название GlobeImposter (Globe-самозванец) получил из-за присвоения "фирменной" записки о выкупе у семейства Globe. Цель: запугать жертв, запутать исследователей, дискредитировать программы дешифрования, выпущенные для Globe-семейства. Таким образом, все подражатели под Globe, не дешифруются утилитами дешифрования, выпущенными для Globe 1-2-3, потому получили условное название GlobeImposter и GlobeImposter 2.0. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

У других итераций семейства GlobeImposter к зашифрованным файлам добавляются также следующие расширения:
.bad
.BAG
.FIX
.FIXI
.legally
.keepcalm
.pizdec
.virginlock
.[byd@india.com]SON
.[xalienx@india.com]

Из-за отсутствия подробных исследований этого семейства (подсемейства) вымогателей, в списке обновлений и расширений возможны нестыковки и ошибки. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа позаимствованы вымогателями у Globe Ransomware и называются также HOW_OPEN_FILES.hta. Разбрасываются в каждой папке с зашифрованными файлами. 
Содержание записки может копироваться из других вымогателей, чтобы запутать идентификацию.
Fake Globe Ransomware шифровальщик HOW_OPEN_FILES.hta
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
***
All your important data has been encrypted. To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 1 BTC on one of these sites
1. https://localbitcoins.com 
2. https://www.coinbase.com 
3. https://xchange.cc
bitcoin adress for pay:
jlHqcdC83***:
Send 1 BTC for decrypt
After the payment:
Send screenshot of payment to alex_pup@list.ru . In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный ID
***
Все ваши важные данные были зашифрованы. Для восстановления данных вам нужен дешифратор.
Чтобы получить дешифратор вы должны:
заплатить за расшифровку:
сайт для покупки Bitcoin:
Купить 1 BTC на одном из этих сайтов
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://xchange.cc
Bitcoin-адрес для оплаты:
jlHqcdC83***:
Отправить 1 BTC за расшифровку
После оплаты:
Отправить скриншот оплаты на alex_pup@list.ru . В письме указать свой личный ID (смотрите в начале этого документа).
После этого как вы получите дешифратор и инструкции
Внимание!
• Нет оплаты = Нет дешифрования
• Вы реально получаете декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования данных приведут к потере ваших данных
• Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов и вредоносной рекламы, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .chm, .dat, .db, .DeskLink, .dll, .doc, .docx, .dtd, .exe, .h, .ico, .ini, .jpg, .jpeg, .lnk, .log, .MAPIMail, .msi, .ppt, .pptx, .py, .shw, .txt, .url, .wav, .wb2, .wma, .wmdb, .wpl, .xls, .xlsx, .xml (34 расширения).
Это могут быть документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр.

Пропускаются файлы с расширениями: .hta, .wpd, .csv, .bin

Файлы, связанные с этим Ransomware:
<random>.bat
<random>.exe
HOW_OPEN_FILES.hta
подтверждение.exe - вредоносное вложение с названием на русском языке

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
Email: alex_pup@list.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Обновление от 15 февраля 2017:
Файл: 2-0.5.exe
Результаты анализов: VT

Обновление от 13 марта 2017:

Пост в Твиттере >>
Файлы: <random>.exe, %TEMP%\qfjgmfgmkj.tmp
Записка: how_to_recover_files.html
Расширение: .pizdec
Результаты анализов: HA+VT
Проверяет наличие антивирусов: 
COMODO, Kaspersky Lab, McAfee, Avira, Avast, Symantec
<< Скриншот записки

Обновление от 11 апреля 2017:
Считается как GlobeImposter 2.0
Расширение: .FIX
Email: happydaayz@aol.com и strongman@india.com
Записка: how_to_recover_files.html
Тема поддержки >> https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/
Содержание записки:
YOUR FILES ARE ENCRYPTED!
Your personal ID
*****
All your files have been encrypted due to a security problem with your PC.
To restore all your files, you need a decryption.
If you want to restore them, write us to the e-mail happydaayz@aol.com.
Or you can, write us to the e-mail strongman@india.com.
In a letter to send Your personal ID (see In the beginning of this document).
You have to pay for decryption in Bitcoins.
The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
In the letter, you will receive instructions to decrypt your files!
In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds.
HURRY! Your personal code for decryption stored with us only 72 HOURS!
Our tech support is available 24 \ 7
Do not delete: Your personal ID
Write on e-mail, we will help you!
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
When the transfer is confirmed, you will receive interpreter files to your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it nay cause permanent data loss.
Decryption of your files with the help of third parties nay cause increased price (they add their fee to our) or you can become a uictim of a scam.
Do not attempt to remoue the program or run the anti-uirus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders are not compatible with other users of your data, because each user’s unique encryption key

Обновление от 1 мая 2017:
Пост в Твиттере >>
Считается как GlobeImposter 2.0
Расширение: .keepcalm
Email: keepcalmpls@india.com
Результаты анализов: VT

Обновление от 2 мая 2017:
Считается как GlobeImposter 2.0
Расширение: .FIXI
Email: happydaayz@aol.com и strongman@india.com
Записка: HOW TO DECRYPT FILES.TXT
Содержание записки:
*текст аналогичен, как в записке от 11 апреля* (см. выше). 

Обновление от 3 мая 2017:
Пост в Твиттере >>
Записка: how_to_back_files.html
Расширение: .crypt

Примеры зашифрованных файлов:
eWQUeJ.docx.crypt
EvYOiAGP.xlsx.crypt
eEx8lzjWqStr2.pdf.crypt
<< Скриншот записки



Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .vdul
Email: 511_made@cyber-wizard.com
BTC: 1GvgRRnLpUP7KsLZLE23ridD45MUxHoAJ4
Результаты анализов: HA+VT

Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .2cXpCihgsVxB3
Email: btc.me@india.com, BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U@bitmessage.ch
BTC: 1MDfQMYSF586GMjwEYxnesAcRhsobEd4BD
Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GlobeImposter, GlobeImposter 2.0)
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams 
 xXToffeeXx
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *