вторник, 28 февраля 2017 г.

UserFilesLocker

UserFilesLocker Ransomware

CzechoSlovak Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,8 - 2,1 биткоинов, чтобы вернуть файлы. Оригинальное название: UserFilesLocker или FilesLocker. На файле написано: Installer. Такой разброс в названиях говорит о неопытности вымогателей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на чешских и словацких пользователей.

Запиской с требованием выкупа выступает экран блокировки с заголовком FilesLocker.

Содержание первой вкладки:
VŠECHNA VAŠE OSOBNI DATA BYLA NANESTESTI PRO VAS KOMPLETNE ZASIFROVANA
Informace
Krok 1 - PLATBA
Krok 2 - Informujte nas
Step 3 - Obnova dat
Vaše data a soubory jsou nyni bohužel zašifrovaný našim klicem. K šifrováni byl použit unikatni AES-256 key generovaný na tomto pocitaci. V tento okamžik jsou jiz všechny soubory zašifrované a klic bezpecne uloženy v zasifrovane v podobě klice RSA-2048.
Jediný a pouze mozny způsob navraceni Vašich souboru je provést platbu Bitcoinem a vyzadat od nas klice k odsifrovani. Neverte zadnym pohádkám na internetu, ze toto je mozne obejit, jednoduše neni kdyby bylo mnoho veci na tomto svete přestane fungovat.
Zaplatte dle instrukci v následujících krocích podle listy nahoře a vyčkejte na Vaše klice. I nam jde o profesionální klientsky servis a reputaci na trhu, proto se budeme snažit odemknout Vaše soubory co nejdříve.
Castka k uhrade: 0.8 BTC
Castka k uhrade: 2.1 BTC (another variant)

Перевод текста с первой вкладки на русский язык:
Все ваши личные данные, к сожалению для вас, были зашифрованы
Информация
Шаг 1 - ОПЛАТА
Шаг 2 - Расскажите нам
Шаг 3 - Восстановление данных
Ваши данные и файлы были зашифрованы, к сожалению, нашим ключом. Для шифрования использован уникальный ключ AES-256, созданный на этом компьютере. На данный момент все файлы уже зашифрованы и ключи надежно сохранены в зашифрованном виде с RSA-2048.
Только одним способом можно вернуть ваши файлы - произвести оплату в биткоинах и получить у нас ключ для расшифровки. Не верьте никаким сказкам в Интернете, что это можно обойти, если бы это было просто, то много вещей в мире перестало работать.
Заплатите по инструкции, переходя по вкладкам, и ждите ваших ключей. Мы дорожим профессиональным обслуживанием клиентов и репутацией на рынке, поэтому постараемся разблокировать ваши файлы как можно скорее.
Сумма платежа: 0,8 BTC
Сумма платежа: 2.1 BTC (другой вариант)

Все вкладки экрана блокировки

Распространяется путём размещения вредоноса на скомпрометированных сайтах (один сайт чешский, другой словацкий). На скриншоте указаны стрелками. 
Может также начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asf, .avi, .cer, .div, .dll, .exe, .flv, .inf, .ini, .jpg, .mkv, .mng, .mov, .mp3, .mp4, .mpeg, .mpg, .ogg, .ogv, .pkg, .qt, .rm, .rmvb, .run, .sh, .txt, .webm, .wmw, .xvid, .yuv (19 расширений). 
Это текстовые файлы, сертификаты, DLL, EXE, фотографии, музыка, видео и прочие файлы. 

Список директорий, в которых файлы подвергаются шифрованию:
Contacts
Desktop
Documents
Downloads
Favorites
Links
Music
Pictures
SavedGames
SavedSearches
Videos

Файлы, связанные с этим Ransomware:
UserFilesLocker.exe
elektronicka-komunikacia-instalacia.exe
prehled_hotely.exe
Installer.exe
IUDL.exe
encrypt.pinfo - файл с паролем шифрования
Decryptor.exe

Расположения:
%USERPROFILE%\Documents\UserFilesLocker.exe
%USERPROFILE%\Desktop\__encrypt.pinfo
%USERPROFILE%\Documents\__encrypt.pinfo

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***uradvlady.eu
***financnasprava.digital
***www.easycoin.cz
***www.localbitcoins.com
***www.simplecoin.cz
vlastnou.hlavou@mailfence.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UserFilesLocker)
 Video review (add. March 1, 2017)
 
 Thanks: 
 Jiri Kropac
 Alex Svirid 
 Michael Gillespie
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 26 февраля 2017 г.

CYR-Locker

CYR-Locker Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
Your personal files are encrypted by CYR-Locker.
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Ineternet server and nobody can decrypt your files until you pay and obtain the private key.
You only have 24 hours to submit the payment. If you do not send money within provided time, all your files will be permanently crypted and no one will be able to recover them. I need money amount from you just 10 millions send through Bitcoin into account: CYR-Locker.
WARNING! DO NOT TRY TO GET RID OF THE PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTION.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы CYR-Locker.
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрования и уникальным ключом, созданным для этого компьютера.
Секретный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать файлы, кроме вы платите и получите секретный ключ.
У вас есть только 24 часа для отправки платежа. Если вы не отправите деньги в течение указанного времени, все ваши файлы останутся зашифрованными. никто не сможет их восстановить. Мне нужно денег от вас 10 миллионов отправить через Bitcoin на аккаунт: CYR-Locker.
Предупреждение! Не пытайтесь избавиться от программы самостоятельно. Любое действие приведет к разрушению ключа дешифрования. Вы потеряете ваши файлы навсегда. Только один способ сохранить ваши файлы, это следовать инструкциям.

Если попытаться ввести фиктивный ключ, то появляется следующее сообщение:
Содержание:
Invalid key. Do not be tried any decrypt key if you have not be received the unique key from. Your personal data will be destroyed immediately if you did it failed many time.

Перевод:
Неправильный ключ. Не проверяйте любой ключ дешифрования, если вы не получили уникальный ключ. Ваши личные данные будут уничтожены немедленно, если вы потерпите эту неудачу много раз.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CYR-Locker.exe
10227250.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *
 *
 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BarRaxCrypt

BarRax Ransomware
BarRaxCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название. Впервые было выложено на польском форуме. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> BarRax

К зашифрованным файлам добавляется расширение .BarRax

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
***
Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется через польский форум BarRax, но может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BarraxCrpt.exe
hidden-tear.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://rens.5v.pl - C2
xxxx://barrax.tk - forum
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 25 февраля 2017 г.

DotRansomware

DotRansomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-конструктор распространяется по модели RaaS. Вымогатели на его основе шифруют данные пользователей с помощью AES, а затем требуют перейти на сайт оплаты, чтобы выполнить условия и вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DotRansomware. Начало. 


Сайт поставщиков DotRansomware RaaS

К зашифрованным файлам по умолчанию добавляется расширение .locked, но может быть изменено по желанию злоумышленника, решившего создать с помощью крипто-конструктора свой вымогатель. 

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Руководство по использованию: 
DotRansomware Setup Guide
Attention!!!
We recommend you to build your ransomware inside virtual machine!
(But it is safe to use builder on your PC, just don't run builded exe file on your PC!)
Recommendation:
If you have got possibility to run ransomware on victim's computer with 
administrator privileges then do it. Because it will provide better conversion.
Recommended decryption price: 0.1
Recommended special decryption prices:
FR|0.15|FI|0.15|IE|0.15|IS|0.15|AU|0.15|BE|0.15|CA|0.15|AT|0.15|DK|0.15|SE|0.15|DE|0.15|NL|0.15|SA|0.2|US|0.2|HK|0.2|LU|0.2|CH|0.2|NO|0.2|AE|0.2|SG|0.2|KW|0.2|MO|0.2|QA|0.2
Recommended attacked extensions: ***
Recommendation:
You need to test builded exe file inside virtual machine, because operability can be broken after crypt/pack of core!
Links to website: ***

Перевод на русский язык:
Руководство по установке DotRansomware
Внимание!!!
Мы рекомендуем вам делать свой вымогатель внутри виртуальной машины!
(Но безопасно использовать строитель и на вашем ПК, только не запускайте сделанный исполняемый файл на вашем ПК!)
Рекомендация:
Если у вас есть возможность запускать вымогатель на ПК жертвы с правами администратора, то сделайте это. Т.к. это позволит лучшее преобразование.
Рекомендуемая цена дешифровки: 0.1
Рекомендуемые спеццены дешифровки:
FR|0.15|FI|0.15|IE|0.15|IS|0.15|AU|0.15|BE|0.15|CA|0.15|AT|0.15|DK|0.15|SE|0.15|DE|0.15|NL|0.15|SA|0.2|US|0.2|HK|0.2|LU|0.2|CH|0.2|NO|0.2|AE|0.2|SG|0.2|KW|0.2|MO|0.2|QA|0.2
Рекомендуемые целевые расширения: ***
Рекомендация:
Вам надо проверить сделанный исполняемый файл на виртуалке, т.к. работа нарушится после крипт/пака ядра!
Ссылки на веб-сайт: ***


Демонстрация работы

Скриншоты по-одному:
https://yadi.sk/d/1K0gV0zb3EcnLD

Распространяется с сайта поставщика RaaS, но потом может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После регистрации на сайте RaaS его клиенты получают два файла: builder.zip и core.exe
После распаковки zip-архива, нужно запустить builder.exe и задать свои параметры или использовать умолчательные. Крипто-строитель пропатчит core.exe и выдаст пользователю готовый крипто-вымогатель. 
 👐
В записке о выкупе поставщики предупреждают, чтобы клиенты готовый exe-шник на своем ПК не запускали, чтобы не стать жертвой вновь созданного крипто-вымогателя.

Список файловых расширений, подвергающихся шифрованию:
.001, .1dc, .3ds, .3fr, .7z, .a3s, .acb, .acbl, .accdb, .act, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .aia, .aif, .aiff, .aip, .ait, .anim, .apk, .arch00, .ari, .art, .arw, .asc, .ase, .asef, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .bgeo, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .c4d, .cap, .cas, .catpart, .catproduct, .cdr, .cef, .cer, .cfr, .cgm, .cha, .chr, .cld, .clx, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cxx, .d3dbsp, .das, .dat, .dayzprofile, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .dcs, .der, .desc, .dib, .dlc, .dle, .dlv, .dlv3, .dlv4, .dmp, .dng, .doc, .docm, .docx, .drf, .dvi, .dvr, .dwf, .dwg, .dxf, .dxg, .eip, .emf, .emz, .epf, .epk, .eps, .eps2, .eps3, .epsf, .epsp, .erf, .esm, .fbx, .ff, .fff, .fh10, .fh11, .fh7, .fh8, .fh9, .fig, .flt, .flv, .fmod, .forge, .fos, .fpk, .fsh, .ft8, .fxg, .gdb, .ge2, .geo, .gho, .gz, .h, .hip, .hipnc, .hkdb, .hkx, .hplg, .hpp, .hvpl, .hxx, .iam, .ibank, .icb, .icxs, .idea, .iff, .iiq, .indd, .ipt, .iros, .irs, .itdb, .itl, .itm, .iwd, .iwi, .j2k, .java, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .k25, .kdb, .kdc, .kf, .kys, .layout, .lbf, .lex, .litemod, .lrf, .ltx, .lvl, .m, .m2, .m2t, .m2ts, .m3u, .m4a, .m4v, .ma, .map, .mat, .max, .mb, .mcfi, .mcfp, .mcgame, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdlp, .mef, .mel, .menu, .mkv, .mll, .mlx, .mn, .model, .mos, .mp, .mp4, .mpqge, .mrw, .mrwref, .mts, .mu, .mxf, .nb, .ncf, .nef, .nrw, .ntl, .obm, .ocdc, .odb, .odc, .odm, .odp, .ods, .odt, .omeg, .orf, .ott, .p12, .p7b, .p7c, .pak, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php4, .php5, .pic, .picnc, .pkpass, .png, .ppd, .ppt, .pptm, .pptx, .prj, .prt, .prtl, .ps, .psb, .psd, .psf, .psid, .psk, .psq, .pst, .ptl, .ptx, .pwl, .pxn, .pxr, .py, .py, .qdf, .qic, .r3d, .raa, .raf, .rar, .raw, .rb, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtg, .rvt, .rw2, .rwl, .rwz, .sav, .sb, .sbx, .sc2save, .sdf, .shp, .sid, .sidd, .sidn, .sie, .sis, .skl, .skp, .sldasm, .sldprt, .slm, .slx, .slxp, .snx, .soft, .sqlite, .sqlite3, .sr2, .srf, .srw, .step, .stl, .stp, .sum, .svg, .svgz, .swatch, .syncdb, .t12, .t13, .tar, .tax, .tex, .tga, .tif, .tiff, .tor, .txt, .unity3d, .uof, .uos, .upk, .vda, .vdf, .vfl, .vfs0, .vpk, .vpp_pc, .vst, .vtf, .w3x, .wallet, .wav, .wb2, .wdx, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xl, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xvc, .xvz, .xxx, .ycbcra, .yuv, .zdct, .zip, .ztmp (380 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
builder.zip
Builder.exe
core.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
dot2cgpiwzpmwtuh.onion.to
dot2cgpiwzpmwtuh.onion.nu
dot2cgpiwzpmwtuh.hiddenservice.net
dot2cgpiwzpmwtuh.onion.casa
dot2cgpiwzpmwtuh.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tw 
 ID Ransomware (n/a)
 Write-up
 *
 *
 Thanks: 
 Jiri Kropac
 David Montenegro
 GrujaRS
 Catalin Cimpanu 
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 23 февраля 2017 г.

Unlock26

Unlock26 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на сайт оплаты, чтобы выполнить условия и вернуть файлы. Оригинальное название, указано также в начальной части адресов сайтов оплаты выкупа.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DotRansomware >> Unlock26


К зашифрованным файлам добавляется расширение .locked-[3_random_chars], например, .locked-Q1u
Три случайных буквенно-цифровых символа на конце зашифрованных файлов уникальны для каждого ПК и ещё используются в записке о выкупе. 

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, ещё в разработке. 

Записки с требованием выкупа называются: ReadMe-Q1u.html
Шаблон: ReadMe-[3_random_chars].html или ReadMe-[A-Za-z0-9]{3}.html

При каждом запуске exe-шника генерируются новые ключ и вектор. Они шифруются публичным RSA-ключом и записываются в ReadMe-[3_random_chars].html 

Записка о выкупе

Содержание записки о выкупе:
Your data was locked!
To unlock your data follow the instructions below
Go to one of this sites
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net

Перевод записки на русский язык:
Твои данные блокированы!
Для разблока данных следуй инструкциям ниже
Иди на один из этих сайтов
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net
 
 
Скриншоты с сайта вымогателей

Сайт показывает всё время одну цену в математическом представлении - 6.e-002 BTC (это 0,06 BTC). Но нам удалось найти еще и 1.e-002 BTC (это 0,01 BTC). 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe-Q1u.html
b1Z7gfdX0.exe
firefox.exe 

Расположения:
%TEMP%\ReadMe-Q1u.html
%TEMP%\b1Z7gfdX0.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unlock26ozqwoyfv.onion
unlock26ozqwoyfv.hiddenservice.net
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.casa
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ на Builder RaaS >>
VirusTotal анализ на Builder RaaS >>

Обновление от 24 февраля 2017:
Криптостроитель Builder RaaS Unlock26
Файл: DotRansomwareBuilder.exe
Результаты анализов: см. выше. 
<< Скриншот





Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Unlock26)
 Write-up (add. February 25, 2017)
 Video review (add. February 27, 2017)
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Mihay Ice
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Pickles

Pickles Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название, указано в коде. Написан на Python. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает.  
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.

Имена зашифрованных файлов переименовываются случайными знаками, а уже к ним добавляется расширение .EnCrYpTeD
Шаблон можно записать как [random_chars].EnCrYpTeD или [a-z0-9].EnCrYpTeD
Примеры зашифрованных файлов

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Записки с требованием выкупа называются: READ_ME_TO_DECRYPT.txt
Содержание записки о выкупе:
Your files have been locked with AES strong encryption.
How to decrypt your files:
1. Send one bitcoin to: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. After sending bitcoin, send email to random_anonymous@gmail.com containing the following code:
3614e3***
3. After receiving bitcoin and required code, you will be given your decrypt password
4. Find to_decrypt.py, double-click, enter the password. Decryption requires Python installed
You have 72 hours to comply, or your decrypt password will be permanently destroyed!
How to buy bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
GOOD LUCK!!

Перевод записки на русский язык:
Ваши файлы были заблокированы с AES шифрованием.
Чтобы дешифровать файлы:
1. Отправьте 1 Bitcoin на: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. После отправки Bitcoin, отправьте сообщение на email random_anonymous@gmail.com со следующим кодом:
3614e3***
3. После получения Bitcoin и этого кода, вы получите ваш пароль дешифровки 
4. Найти to_decrypt.py, дважды щелкните, введите пароль. Дешифровка требует установки Python
У вас есть 72 часа для выполнения, или ваш пароль дешифровки будет уничтожен!
Чтобы купить Bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
УДАЧИ!!
Для дополнительного информирования жертвы используется скринлок, встающий обоями рабочего стола с коротким текстом: 
"Внимание! Ваши файлы зашифрованы!!! Следуйте инструкциям в READ_ME_TO_DECRYPT.txt для возврата ваших файлов". 

После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_TO_DECRYPT.txt - записка о выкупе;
ransomware.exe - исполняемый файл вымогателя;
image.png - скринлок для обоев рабочего стола;
to_decrypt.py - файл для дешифровки файлов. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 Thanks: 
 JakubKroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 22 февраля 2017 г.

Vanguard

Vanguard Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha20 и Poly1305, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Фальш-имя: MSOFFICE. Фальш-копирайт: Microsoft Corporation. Написан на языке Go (анг. Go language, Golang). Разработчик: Viktor. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение *нет данных*

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, в разработке. 

Записки с требованием выкупа называются: DECRYPT_INSTRUCTIONS.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? https://translate.google.com
Your personal files and documents have been encrypted with AES-256 and RSA-2048!
Decrypting your files is only possible with decrypt key stored on our server. 
Price for key is %bitcoin% BTC (Bitcoin).
1. Send %bitcoin% BTC to %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Wait some time for transaction to process
3. PRIVATE KEY WILL BE DOWNLOADED AND SYSTEM WILL AUTOMATICALLY DECRYPT YOUR FILES!
If you do not pay within %hoursvalid% hours key will become DESTROYED and your files LOST forever!
Removing this software will make recovering files IMPOSSIBLE! Disable your antivirus for safety.

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? https://translate.google.com
Твои личные файлы и документы были зашифрованы с AES-256 и RSA-2048!
Дешифровать файлы можно лишь с ключом дешифровки, хранящегося на нашем сервере.
Цена за ключ %Bitcoin% BTC (Bitcoin).
1. Отправь %Bitcoin% BTC на %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Подожди немного, пока транзакции обрабатываются 
3. Закрытый ключ загрузится и система автоматически дешифрует твои файлы!
Если ты не платишь за %hoursvalid% часа ключ УНИЧТОЖИТСЯ и твои файлы ПОТЕРЯНЫ навсегда!
Удаление этого софта сделает восстановление файлов НЕВОЗМОЖНЫМ! Отключите антивирус для безопасности.

Другое текстовое сообщение:
Please read DECRYPT_INSTRUCTIONS.txt for more information.

Перевод на русский:
Прочти DECRYPT_INSTRUCTIONS.txt для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед запуском шифрования проверяет наличие отладчиков и работу в виртуальной среде. Нерестит много процессов. Изменяет настройки прокси. 

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .aac, .ab4, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .bmp, .bpw, .brd, .bz2, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .cls, .cmd, .cmt, .com, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .encrypted, .eps, .erbsql, .erf, .exe, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .htm, .html, .hwp, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .inf, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onenotec2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qb, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .torrent, .txt, .uop, .uot, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (416 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vanguard.exe
msword.exe
del.bat
Cab1.tmp
Cab3.tmp
Tar2.tmp
Tar4.tmp

Расположения: 
%Temp%\msword.exe
%Temp%\del.bat
%Temp%\Cab1.tmp
%Temp%\Tar2.tmp
%Temp%\Cab3.tmp
%Temp%\Tar4.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***myexternalip.com (78.47.139.102)
***azxtr3foqyvpz3ob.onion.casa (167.160.185.136)
***secure2.alphassl.com (104.16.29.16)
***www.download.windowsupdate.com (92.122.122.144)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> HA-2 HA-3 HA-4
VirusTotal анализ >>  VT-2 VT-3 VT-4

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Article "ChaCha20 и Poly1305"
 *
 Thanks: 
 Jiri Kropac
 MalwareHunterTeam
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *