четверг, 2 февраля 2017 г.

Ranion RaaS

Ranion Ransomware

(шифровальщик-вымогатель, RaaS)


Этот вымогательский Ranion RaaS даёт потенциальным преступникам возможность создавать и распространять своих собственных вымогателей, без необходимости иметь навыки в программировании. Название оригинальное.

© Генеалогия: Ranion Raas.

К зашифрованным файлам добавляется настраиваемое расширение.
Записки с требованием выкупа тоже настраиваются. 

Начало работы этого крипто-вымогательского сервиса пришлось на конец января - начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Содержание страницы BUY на сайте Tor:
RANION - The Better & Cheapest FUD Ransomware + C&C on Darknet
BUY - FAQ - CONTACT
We provide an already configured and compiled FUD Ransomware + Decrypter
We are the only that provide a FREE Anonymous C&C Dashboard via Onion to manage your Clients
We also provide additional FREE Customizations and DON'T take Fees from your Clients
DISCLAIMER: Our Products are for EDUCATIONAL PURPOSES ONLY.
Don't use them for illegal activities. You are the only responsable for your actions!
Our Products/Services are sold with NO WARRANTY and AS ARE.
*** ranionjgot5cud3p.onion ***
...
-= CHOOSE YOUR PACKAGE =-
[PACKAGE #1] - 1 YEAR C&C Dashboard (RaaS) - Price: 0.95 btc
    FUD Ransomware (AES 256 Encryption with a 30 chars long uncrackable key)
    Decrypter
    1 Year C&C Dashboard (to receive the AES keys from Clients)
    We take NO FEES from your Clients
    Optional: additional Crypter adding 0.1 btc
    Optional: additional file types to encrypt for free (for all file types encrypted see FAQ)
    Optional: additional client banner in your language for free (already present eng, rus, ger, fra, esp, ita)
[PACKAGE #2] - 6 MONTHS C&C Dashboard (RaaS) - Price: 0.60 btc
    FUD Ransomware (AES 256 Encryption with a 30 chars long uncrackable key)
    Decrypter
    6 Months C&C Dashboard (to receive the AES keys from Clients)
    We take NO FEES from your Clients
    Optional: additional Crypter adding 0.1 btc
    Optional: additional file types to encrypt for free (for all file types encrypted see FAQ)
    Optional: additional client banner in your language for free (already present eng, rus, ger, fra, esp, ita)
-= HOW TO BUY =-
    Send the Package's price to following Bitcoin address: 1Lr9k7***
    Write us an email to ranion(at)sigaint.org telling us:
    - Chosen package
    - Your Bitcoin address used to send us money
    - Your own Bitcoin address to receive money from your Clients
    - Your price to receive from your Clients (ie. 0.20 btc)
    - Your email address to get contacted from your Clients
    - Optional additions
    Wait until we check your payment
    You will receive an email with 2 links:
    - The first one with your files (Ransomware + Decrypter)
    - The second one with your dashboard
Your satisfaction is important! Contact us for any need.
Copyright (c) 2016-2017 - Ranion (RaaS)


Перевод страницы BUY на русский язык: 
RANION - самое лучшее и самое дешевое FUD Ransomware + C&C на Darknet
КУПИТЬ - FAQ - Контакты
Мы предлагаем уже настроенный и скомпилированный FUD Ransomware + Decrypter
Мы единственные, кто обеспечивают бесплатный анонимный C&C Dashboard с Onion для управления вашими клиентами
Мы также предоставляем дополнительные бесплатные настройки и НЕ принимаем платежи от своих клиентов
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Наши продукты предназначены для образовательных целей.
Не используйте их для незаконной деятельности. Только вы несете ответственность за свои действия!
Наши продукты / услуги продаются без гарантии и как есть.
*** ranionjgot5cud3p.onion ***
...
-= ВЫБЕРИТЕ ЛИЦЕНЗИЮ =-
[ПАКЕТ # 1] - 1 ГОД C&C Dashboard (RaaS) - Цена: 0,95 BTC
    FUD Ransomware (AES-256 шифрование с 30-ти символьным невзламываемым ключом)
    Decrypter
    1 год C&C Dashboard (получить ключи AES от клиентов)
    Мы не берем сборы от ваших клиентов
    Опционально: дополнительный Crypter - добавочные 0,1 BTC
    Опционально: дополнительные типы файлов для шифрования бесплатно (для всех типов зашифрованных файлов см. FAQ)
    Опционально: дополнительный клиент баннер на вашем языке для свободного (уже есть eng, rus, ger, fra, esp, ita)
[ПАКЕТ # 2] - 6 МЕСЯЦЕВ C&C Dashboard (RaaS) - Цена: 0,60 BTC
    FUD Ransomware (AES-256 шифрование с 30-ти символьным невзламываемым ключом)
    Decrypter
    6 месяцев C & C Dashboard (получить ключи AES от клиентов)
    Мы не берем сборы от ваших клиентов
    Опционально: дополнительный Crypter - добавочные 0,1 BTC
    Опционально: дополнительные типы файлов для шифрования бесплатно (для всех типов зашифрованных файлов см. FAQ)
    Опционально: дополнительный клиент баннер на вашем языке для свободного (уже есть eng, rus, ger, fra, esp, ita)
-= КАК КУПИТЬ =-
    Отправить цену пакета, чтобы следующие Bitcoin адресу: 1Lr9k7***
    Напишите нам на email ranion(at)sigaint.org и сообщите:
    - Выбранный пакет
    - Ваш Bitcoin-адрес, используемый для отправки нам денег
    - Ваш собственный адрес Bitcoin, чтобы получить деньги от своих клиентов
    - Ваша цена получить от своих клиентов (т.е. 0,20 BTC).
    - Ваш адрес email для контактов с вашими клиентами
    - Необязательные дополнения
    Подождите, пока мы не проверим вашу оплату
    Вы получите письмо с 2-мя ссылками:
    - Первый из них с файлами (Ransomware + Decrypter)
    - Второй с приборной панелью.
Ваше удовлетворение очень важно! Свяжитесь с нами для любых разъяснений.
Copyright (c) 2016-2017 - Ranion (RaaS)


Содержание страницы FAQ на сайте Tor:
[начало как на странице BUY]
-= FAQ =-
Who are you?
We are a little group of people involved for more than 10 years with cyber security and hacking underground.
What do you sell?
We sell a FUD customizable and already configured Ransomware (x86 & x64 for Windows machines) managed via an Onion C&C Dashboard with the aim in mind to show for "EDUCATIONAL PURPOSES ONLY" a Ransomware in action via an Onion C&C Dashboard. Please don't use this Ransomware for illegal purposes. You are the only responsable for your actions.
How your Ransomware works?
When you will execute the Ransomware.exe it will encrypt any configured file type within PC (searching for files on C-Z HDDs) using an AES 256 key generated that will be sent to your C&C Dashboard. When finished it will create some README files on Desktop (in different languages) and a banner message that will be executed to every Boot (providing details for payment to your Client). Our Ransomware doesn't destroy your PC by encrypting exe files. Exes files will be not encrypted unless you want to do it.
Why do you sell to lowered prices?
Our aim is selling good pieces of software and raising security awareness. We know many other sites that claim to sell similar products are scam. We give the possibility to test our product to a lower price.
What file types does your Ransomware encrypt?
These file types: ".txt", ".rtf", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".ods", ".jpg", ".jpeg", ".png", ".bmp", ".csv", ".sql", ".mdb", ".db", ".accdb", ".sln", ".php", ".jsp", ".asp", ".aspx", ".html", ".htm", ".xml", ".psd", ".cs", ".java", ".cpp", ".cc", ".cxx", ".zip", ".pst", ".ost", ".pab", ".oab", ".msg". You can request us other additional file types/extensions to encrypt for free.
How big is the AES 256 decryption key?
It is a 30 chars long uncrackable alphanumeric passphrase. Every time the ransomware is executed it creates a new and unique AES key.
How can I decrypt my files?
Put the file Decrypter.exe on Desktop and execute it. Insert the AES key used for encryption and wait some time.
Is your Ransomware FUD?
Our Ransowmare results clean for 90% of AVs. For 10% it is recognised by some AVs like a potential unwanted program. However you can buy a totally Crypted version. Remember if you want to keep your Ransomware FUD more time not scan it with AVs and not send it to online AVs.
Can I use my own Crypter with your Ransomware?
Yes you can.
Do you get fees from my Clients?
Absolutly No. We don't take money from you. You pay us only the price for the bought Package.
Is your C&C Dashboard free?
We give you access to our simple C&C Dashboard for free.
What data I can see on C&C Dashboard?
Computer ID, Username, AES decryption key of all Clients.
Can I test your Ransomware on my Virtual Machine?
Yes.
Do you take care of my privacy?
Yes, of course! We keep no logs on Server and we are an onion/darknet service.

Перевод страницы FAQ на русский язык: 
[начало как на странице BUY]
-= FAQ =-
Кто мы?
Мы небольшая группа людей, вовлеченных более 10 лет в кибер-безопасность и хакерское подполье.
Что вы продаете?
Мы продаем настраиваемый и уже настроенный FUD Ransomware (x86 и x64 для машин c Windows), управляемый с помощью Onion C&C Dashboard с "образовательской целью" Ransomware, работающий через Onion C&C Dashboard. Пожалуйста, не используйте этот вымогатель в незаконных целях. Только вы несете ответственность за свои действия.
Как ваш Ransomware работает?
Когда вы запустите Ransomware.exe, он будет зашифровать любой заданный тип файлов на ПК (поиск файлов на C-Z дисков), с помощью ключа AES-256 генерируется, который будет отправлен на ваш C&C Dashboard. Когда закончите, это создаст некоторые README-файлы на рабочем столе (на разных языках) и сообщение баннера, который будет запускаться при каждой загрузке (предоставляя реквизиты для оплаты вашему клиенту). Наш Ransomware не разрушает ваш компьютер путем шифрования исполняемых файлов. Exe-файлы не будут зашифрованы, если вы не хотите делать это.
Почему вы продаете по сниженным ценам?
Наша цель продать хороший софт и повысить осведомленность в безопасности. Мы знаем, что многие другие сайты, которые утверждают, что продают подобные продукты, являются аферой. Мы даем возможность протестировать наш продукт по более низкой цене.
Какие типы файлов может ваш Ransomware шифровать?
Эти типы файлов: ".txt", ".rtf", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".ods", ".jpg", ".jpeg", ".png", ".bmp", ".csv", ".sql", ".mdb", ".db", ".accdb", ".sln", ".php", ".jsp", ".asp", ".aspx", ".html", ".htm", ".xml", ".psd", ".cs", ".java", ".cpp", ".cc", ".cxx", ".zip", ".pst", ".ost", ".pab", ".oab", ".msg". Вы можете заказать нам другие дополнительные типы файлов / расширения для шифрования бесплатно.
Какой длины ключ дешифрования AES-256?
Это длинная 30-ти символьная невзламываемая буквенно-цифровая ключевая фраза. Каждый раз, когда вымогатель выполняется, это создает новый и уникальный ключ AES.
Как я могу расшифровать мои файлы?
Поместите файл Decrypter.exe на рабочий стол и выполнить его. Вставьте ключ AES, используемый для шифрования, и подождте некоторое время.
Является ли ваш Ransomware FUD?
Наш Ransowmare имеет чистые на 90% результаты у AV. На 10% она признана некоторыми AV как потенциально-нежелательная программа. Тем не менее, вы можете купить полностью зашифрованную версию. Помните, если вы хотите сохранить ваш Ransomware FUD дольше недетектируемым среди AV, то не отправляйте его в онлайн AV.
Могу ли я использовать свой собственный Crypter с Ransomware?
Да, можешь.
Вы получаете вознаграждение от моих клиентов?
Абсолютно нет. Мы не берем деньги с вас. Вы платите нам только за купленный пакет.
Является ли ваш C&C Dashboard бесплатным?
Мы даем вам доступ к нашей простой C&C Dashboard бесплатно.
Какие данные я могу видеть на C&C Dashboard?
Компьютерный ID, имя пользователя, AES-ключ дешифрования всех клиентов.
Могу ли я протестировать Ransomware на моей виртуальной машине?
Да.
Позаботились ли вы заботиться о моей приватности?
Да, конечно! Мы не держим журналы на сервере и наш сервис на onion/darknet.


Содержание страницы CONTACT на сайте Tor:
[начало как на странице BUY]
-= CONTACT =-
ranion(at)sigaint.org
Bitcoin Address: 1Lr9k7jh8jW2rfEuP6ayUt6vtCvefsBSGA
It is highly recomended using PGP when you write us an email using our following PGP key:
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBFh1EDYBEADP****************
-----END PGP PUBLIC KEY BLOCK-----

Перевод страницы CONTACT на русский язык: 
[начало как на странице BUY]
-= КОНТАКТ =-
ranion(at)sigaint.org
Bitcoin-адрес: 1Lr9k7jh8jW2rfEuP6ayUt6vtCvefsBSGA
Очень рекомендуем использовать PGP, когда вы пишите нам на email, используя наш следующий ключ PGP:
----- НАЧАЛО PGP PUBLIC KEY BLOCK-----
mQINBFh1EDYBEADP****************
----- КОНЕЦ PGP PUBLIC KEY BLOCK-----

Распространяется RaaS c помощью onion-сайта в сети Tor, но клиентами-партнёрами может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .asp, .aspx, .bmp, .cc, .cpp, .cs, .csv, .cxx, .db, .doc, .docx, .htm, .html, .java, .jpeg, .jpg, .jsp, .mdb, .msg, .oab, .ods, .odt, .ost, .pab, .php, .png, .ppt, .pptx, .psd, .pst, .rtf, .sln, .sql,.txt, .xls, .xlsx, .xml, .zip (39 расширений). 

Это документы MS Office, OpenOffice, текстовые файлы, базы данных, фотографии и пр. Создатели RaaS заявляют, что готовы расширить список расширений по желаю своих клиентов, чтобы затронуть шифрованием больше данных пользователей.

Файлы, связанные с этим Ransomware:
Ransomware.exe
Decrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***ranionjgot5cud3p.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: пока низкая, но потенциально высокая.
Подробные сведения собираются регулярно.

Обновление от 27 апреля 2017:
Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Email: ssdt3@protonmail.com
Скриншот записки:

Скриншоты ресурса:



 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 Thanks: 
 Daniel Smith
 Catalin Cimpanu
 S!Ri
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *