понедельник, 29 мая 2017 г.

ImSorry

ImSorry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: ImSorry.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .imsorry

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read me for help thanks.txt
Другим информатором жертвы является экран блокировки.

Содержание текста о выкупе:
***
Перевод текста на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read me for help thanks.txt
ImSorry.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ImSorry)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackSheep

BlackSheep Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. Написано также на файле. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: FTSCoder >> BlackSheep

К зашифрованным файлам добавляется расширение .666

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES, DOCUMENTS, MP3s, VIDEOS, AND EVEN YOUR COMPUTER SCREEEN IS HACKED. THERE IS NO SOLUTION ANYWHERE UNLESS YOU PAY $500 TO GET THE KEY TO DECRYPT WE CAN BE NICE AND WE CAN BE SO MEAN, IT ALL DEPENDS ON YOU. PAY WITHIN 54 HOURS. PAY INTO THE BITCOIN ADDRESS BELOW.
1CdW4EdRUeXf6ydy4HfZ4gDiWcxb9QnXxb

Перевод записки на русский язык:
Все ваши важные файлы, документы, mp3, видео и даже скриншоты на вашем компьютере взломали. Нет никакого решения, если вы не заплатите 500 долларов, чтобы получить ключ для дешифрования, мы можем быть хорошими, и мы можем быть также злыми, все зависит от вас. Оплатите в течение 54 часов. Обратите внимание на нижеуказанный биткоин-адрес.
1CdW4EdRUeXf6ydy4HfZ4gDiWcxb9QnXxb

Экран, имитирующий обновление Windows. За ним фоном выполняется шифрование файлов. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BLACKSHEEP.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Yyto

Yyto Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на Tor-email, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .YYTO в составе шаблона: .read_to_txt_file.yyto

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: help_to_decrypt.txt

Содержание записки о выкупе:
If you don't have a email in TOR network:
1) Download and install the browser for the TOR network: https://www.torproject.org/download/download-easy.html
2) Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion
3) Write on email: cutterswish@torbox3uiot6wchz.onion
4) Wait for a response.
DON'T WRITE FROM NOT TOR EMAIL. MESSAGES WILL NOT BE RECEIVED AND YOU WILL NOT RECEIVE AN UNLOCK KEY.
Your personal key:
 8f51a85f140*****

Перевод записки на русский язык:
Если у вас нет email в сети TOR:
1) Загрузите и установите браузер для TOR-сети: https://www.torproject.org/download/download-easy.html
2) Запустите браузер и перейдите по ссылке (создайте email в TOR-сети): torbox3uiot6wchz.onion
3) Напишите на email: cutterswish@torbox3uiot6wchz.onion
4) Дождитесь ответа.
Не пишите из не Tor-email. Сообщения не будут получены, а вы не получите ключ разблокировки.
Ваш личный ключ:
 8f51a85f140*****

Страница указанного Tor-сайта

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
help_to_decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
torbox3uiot6wchz.onion
Email: cutterswish@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Yyto)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 28 мая 2017 г.

LockedByte

LockedByte Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $1000 в BTC, чтобы вернуть файлы. Оригинальное название: LockedByte. На файле написано: WindowsFormsApplication1. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется случайное расширение: .[random]
Файлы можно дешифровать. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола.

Содержание записки о выкупе:
Your files have been encrypted by LockedByte
All your files have been encrypted and are now hold for ransom
To receive your files back you will have to pay 1000 dollars worth of bitcoin to the address:
17UomAvt4YEDwNYdpFjotdm7CV1i8jJ16Q
Good luck having your files back
>:-) 

Перевод записки на русский язык:
Ваши файлы были зашифрованы LockedByte
Все ваши файлы зашифрованы и захвачены для выкупа
Чтобы вернуть файлы, вам надо заплатить биткойны на 1000 долларов по адресу:
17UomAvt4YEDwNYdpFjotdm7CV1i8jJ16Q
Удачи в возврате ваших файлов
>:-) 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LockedByte.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 27 мая 2017 г.

SmartRansom Chinese

SmartRansom

Chinese Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует отсканировать код с экрана и заплатить ему, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: неизвестна.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Сначала отображает изображение с девушкой, а затем экран блокировки с текстом на китайском. 

Экран блокировки выступает запиской с требованием выкупа:

Содержание текста о выкупе:
你好
你一定很想知道我是谁
我告诉你吧,我是你爹
我把你电脑里重要文件都加密了
你一定很想打我对不对
扫描屏幕上的二维码,向我付款
芫事后我会给你解密工具
记得把屏幕上方的密钥记下来哦
这样我才能帮你解密嘛

Перевод записки на русский язык:
Привет
Ты хочешь знать, кто я?
Отвечаю, я твой отец.
Я зашифровал твои важные компьютерные файлы 
Ты хочешь узнать как их вернуть? 
Отсканируй двоичный код с экрана, заплати мне.
Я дам тебе инструмент дешифрования.
Не забудь записать ключ из верхней части экрана.
Чтобы я мог помочь тебе расшифровать это.

Экран блокировки можно закрыть с помощью комбинации клавиш Alt+F4. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию, если оно сработает:
.au3, .BMP, .CUR, .doc, .docx, .GIF, .ICO, .JPG, .MID, .MIDI, .pdf, .PNG, .ppt, .pptx, .prn, .psd, .rar, .txt, .WAV, .xls, .xlsx, .zip (22 расширения)
Это файлы MS Office, текстовые файлы, фотографии, музыка, файлы иконок, архивы и пр.

Файлы, связанные с этим Ransomware:
SmartRansom.exe
AArI.jpg

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.eyuyan.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 мая 2017 г.

Crying

Crying Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название Crying, но в записке также называется Cry Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Crying

К зашифрованным файлам добавляется расширение .crying

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Информатором о выкупе также выступает экран блокировки, содержащий также вспомогательный информационный экран с вопросами-ответами. 

Содержание записки о выкупе:
Your're Files have been encrypted.
Please read the program to learn how to decrypt your files.
if the program won't open so you can read it. You can start the program again and again until it opens the form with the information displayed.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Прочитайте программу, чтобы узнать, как расшифровать ваши файлы.
Если программа не откроется, чтобы вы могли ее прочитать. Вы можете запустить программу снова и снова, пока не откроется форма с информацией.

Содержание текста с экрана "Crying":
Bitcoin Address:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Please Click the button to see what happend to your computer.
Closing this window will result in files being deleted.
button [What Happend?]

Перевод экрана "Crying" на русский язык: 
Биткоин-адрес:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Нажмите кнопку, чтобы узнать, что случилось с вашим компьютером.
Закрытие этого окна приведет к удалению файлов.
Кнопка [What Happend?] (Что случилось)

Содержание текста с экрана "Info":
Q: What has happend to my computer?
A: Your Computer is Infected by "Cry" Ransomware.
---
Q: Can i remove this?
A: Yes, Just send 0.05 Bitcoins to the address on the main page.
---
Q: AnyWay i can get my files back?
A: Yes, Although it's highly unlikely to happen.
---
Q: Why has this happend to me?
A: You downloaded something leaked/Cracked/Downloaded this itself.
---
Q: Is this some type of joke? 
A: Check your files. They all have have the extension .crying
---

Перевод экрана "Info":
В: Что случилось с моим компьютером?
О: Ваш компьютер заражен "Cry" Ransomware.
---
В: Могу ли я удалить это?
О: Да, просто пришлите 0.05 биткоина по адресу на главной странице.
---
В: Как-то ещё я могу вернуть свои файлы?
О: Да, хотя это вряд ли произойдет.
---
В: Почему это случилось со мной?
О: Вы скачали что-то уязвимое/взломанное /само загрузилось.
---
В: Это какая-то шутка?
О: Проверьте файлы. У всех их есть расширение .crying
---

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ECRYING.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Adonis

Adonis Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название. Написано на AutoIT. Файлы не шифрует или не доработан. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
EN.html
DE.html


Содержание записки о выкупе:
ADONIS RANSOMWARE
Your computer has been blocked and your documents, photos, databases and other important files have been encrypted!
To unblock your computer and decrypt your files you must follow the instructions below.
This is the only possibility to unblock your computer and get your files back.
All transactions should be performed via Bitcoin network only.
Instructions:
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.1 Bitcoins)
Here are our recommendations:
LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu - the best for Europe;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.1 BTC (Bitcoins) to the following address:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Your computer will be unblocked and your files will be decrypted automatically!

Перевод записки на русский язык:
ADONIS RANSOMWARE
Ваш компьютер заблокирован и ваши документы, фото, базы данных и другие важные файлы были зашифрованы!
Чтобы разблокировать ваш компьютер и расшифровать ваши файлы, вы должны следовать инструкциям ниже.
Это единственная возможность разблокировать ваш компьютер и вернуть файлы.
Все транзакции должны выполняться только через сеть Bitcoin.
Инструкции:
1. Создайте Биткоин-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов (0.1 биткойна)
Вот наши рекомендации:
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткоины;
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткоины;
BTCDirect.eu - лучшее для Европы;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - быстро узнайте, как купать и продать биткоины в местной валюте.
3. Отправьте 0.1 BTC (биткоин) по следующему адресу:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ваш компьютер будет разблокирован и ваши файлы будут дешифрованы автоматически!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
EN.html
DE.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 ​​MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FTSCoder

FTSCoder Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует купить код, чтобы дешифровать файлы. Оригинальное название. На файле написано: madafakah. Фальш-копирайт: Microsoft. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fucking

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных и, судя по данным Google-переводчика, суданских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
waduuh, filenya terEncript niih
button [Decrypt]
Don't close before Decrypted

Перевод записки на русский язык:
К сожалению файлы зашифрованы
кнопка [Decrypt]
Не закрывайте до Дешифровки

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
madafakah.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 25 мая 2017 г.

Oled

Oled Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oled
Целиком шаблон переименованного файла выглядит так: filename.[black.mirror@qq.com].oled

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTION.txt

Содержание записки о выкупе:
Your ID: 
*****
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: black.mirror@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 5Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename or move encrypted files - this may compromise the integrity of the decryption process
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Ваш ID:
*****
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на email: black.mirror@qq.com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ РАСШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 5 МБ
Как получить биткойны
Самый простой способ купить биткойн - это сайт LocalBitcoins.
Вы должны зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене https://localbitcoins.com/buy_bitcoins
Внимание!
Не переименовывайте и не перемещайте зашифрованные файлы - это может навредить процессу дешифрования
Не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к потере данных.

Содержание записки о выкупе очень похоже на записку из OnyonLock Ransomware.
Выводы о родстве делать рано. Подождём сообщения от исследователей. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: black.mirror@qq.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 mmachado (victim in the topic of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *