вторник, 25 апреля 2017 г.

PyteHole

PyteHole Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название: pyte-hole или pyteHole.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .adr

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа отсутствуют.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pyte-hole.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
traffic.pasmik.net (37.9.175.3)
www.download.windowsupdate.com (88.221.14.137)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NM4

NM4 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 / RSA-2048, а затем требует выкуп в 3 BTC, чтобы вернуть файлы. Оригинальное название: NM4 (NMoreira 4). Новая итерация крипто-вымогателя R (тоже NMoreira 4).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira > NMoreia 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .NM4

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Recovers your files.html

Содержание записки о выкупе:
Your Key: ***
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
 Making it impossible to recover files without the correct private key.
 If you are interested in getting is the key and recover your files
 You should proceed with the following steps. 
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
To proceed with the purchase you must access one of the link below
• xxxxs://3fprihycwetwk2m7.onion.to/
• xxxxs://3fprihycwetwk2m7.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser: 
1. run your Internet browser (if you do not know what it is run the Internet Explorer);
2. enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button 'Connect' (if you use the English version);
7. a normal Internet browser window will be opened after the initialization;
8. type or copy the address xxxxs://3fprihycwetwk2m7.onion in this browser address bar; 
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
 If you have any problems during installation or use of Tor Browser, please, visit xxxxs://www.youtube.com and type request in the search bar 'Install Tor Browser Windows' and you will find a lot of training videos about Tor Browser installation and use. 
 Your Key: ***

Перевод записки на русский язык:
Ваш ключ: ***
Зашифрованы файлы!
Все ваши файлы зашифрованы. Использовано AES256-бит шифрование и RSA-2048-бит шифрование.
 Невозможно восстановление файлов без правильного закрытого ключа.
 Если вы желаете получить ключ и восстановить ваши файлы
 Вы должны выполнить следующие шаги.
Единственный способ безопасно расшифровать ваши файлы - это купить программу дешифровки и закрытый ключ.
Любые попытки восстановить ваши файлы сторонней программой будут фатальны для ваших файлов!
Чтобы продолжить покупку, вы должны перейти по одной из ссылок ниже 
• xxxxs://3fprihycwetwk2m7.onion.to/
• xxxxs://3fprihycwetwk2m7.onion.link/
Если ни одна из ссылок недоступна долгое время, то есть ещё один способ её открыть, вам надо установить Tor Browser
Если ваша личная страница недоступна долгое время, то есть ещё один способ открыть вашу личную страницу - установка и запуск Tor Browser:
1. запустите свой интернет-браузер (если вы не знаете, как он работает в Internet Explorer);
2. Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. дождитесь загрузки сайта;
4. на сайте вам будет предложено скачать Tor Browser; загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки;
5. запустите Tor Browser;
6. нажмите кнопку «Подключить» (если вы используете английскую версию);
7. после инициализации откроется обычное окно интернет-браузера;
8. Введите или скопируйте адрес xxxxs://3fprihycwetwk2m7.onion в адресной строке браузера;
9. нажмите ENTER;
10. сайт должен быть загружен; если по какой-то причине сайт не загружается, подождите минуту и ​​повторите попытку.
 Если у вас возникли проблемы при установке или использовании Tor-браузера, то посетите xxxxs://www.youtube.com и введите запрос в строке поиска "Установить браузер Tor Browser", и вы найдете много учебных видеороликов про "установка и использование Tor-браузера".
 Ваш ключ: ***


Скриншоты страницы Tor-сайта
До ввода ключа
После ввода ключа

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов с помощью команд:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Завершает работу и отключает запуск на старте системы следующих служб: 
Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SharePoint, SBS...

Отключает запуск:
MSExchangeAB, MSExchangeAntispamUpdate, MSExchangeEdgeSync, MSExchangeFDS, MSExchangeFBA, MSExchangeImap4, MSExchangeIS, MSExchangeMailSubmission, MSExchangeMailboxAssistants, MSExchangeMailboxReplication, MSExchangeMonitoring, MSExchangePop3, MSExchangeProtectedServiceHost, MSExchangeRepl, MSExchangeRPC, MSExchangeSearch, wsbexchange, MSExchangeServiceHost, MSExchangeSA, MSExchangeThrottling, MSExchangeTransport, MSExchangeTransportLogSearc, MSExchangeADTopology...

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Вероятно, шифруются все пользовательские файлы, кроме имеющих расширения: .bat, .dll, .exe, .ini, .lnk, .msi, .scf и находящиеся в исключаемых директориях (см. список игнорирования ниже).

Шифровальщик пропускает лишь следующие файлы и директории (список игнорирования):
pagefile.sys
NTUSER.DAT
bootmgr
boot
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
AppData
winrar
lntemet Explore
java
TeamViewer
windows
ESET
AVG
AVIRA
AVAST Software
Atheros
Realtek
chrome
opera
firefox

Файлы, связанные с этим Ransomware:
Recovers your files.html
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as NM4)
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 24 апреля 2017 г.

PshCrypt

PshCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,05 BTC, чтобы вернуть файлы. Оригинальные названия, указанные на файле: XExplorer и Une bite. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .psh

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Tour files are encrypted !
Enter the serial code to decrypte your file
How to get a serial key :
First buy 0.05 bitcoin
Than send this 0.05 bitcoin to this bitcoin wallet :
Then take the 4 first character of the transaction ID
Then press the "Decrypte" button
Serial code : (Only Upper)
button [Decrypte]
Warning :
If your transaction number don't work, please wait up to 48 hours (2 day) and retry Decrypted flles :
Decrypted files

Перевод записки на русский язык:
Твои файлы зашифрованы!
Введи серийный код для расшифровки твой файл
Как получить серийный ключ:
Сначала купи 0.05 биткойн
Затем отправь эти 0.05 биткойн в этот биткойн-кошелек:
Затем возьми 4 первых символа ID транзакции
Затем нажми кнопку "Decrypte"
Серийный код: (только Upper)
Кнопка [Расшифровать]
Предупреждение:
Если номер твоей транзакции не работает, жди до 48 часов (2 дня) и повтори дешифрование:
Дешифрованные файлы

Код дешифровки: HBGP

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XExplorer.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PshCrypt)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 22 апреля 2017 г.

JeepersCrypt

JeepersCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .jeepers

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Todos os seus arquivos importantes foram encriptados
Voce tem 24 horas para comprar uma chave privada para desencriptar seus arquivos o preço da chave e 0.0200 BTC (bitcoin que vale a 77 reais) para comprar a chave para comprar a chave entre em contato via email: jeeperscrypt@protonmail.com
e envie uma mensagem com o seguinte titulo "Quero comprar uma chave para desencriptar meus arquivos" que irei passar as informações de como comprar a chave
Tempo Restante
23:53:21

Перевод текста на русский язык:
Все ваши важные файлы были зашифрованы
У вас есть 24 часа, чтобы купить закрытый ключ для расшифровки файлов за 0.0200 BTC (bitcoin стоит 77 реалов), чтобы купить ключ 
для покупки ключа контакт по email: jeeperscrypt@protonmail.com
и отправьте сообщение с заголовком: "Я хочу купить ключ, чтобы расшифровать мои файлы", в ответ получите информацию о том, как купить ключ
Оставшееся время
23:53:21

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
JeepersCrypt.exe
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JeepersCrypt)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 апреля 2017 г.

Lockout

Lockout Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lockout

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Payment-Instructions.txt

Содержание записки о выкупе:
Your Payment ID: ****
Contact bnd54@mail2tor.com with your Payment ID from above to get price and payment details for unique decryption software.
Files are encrypted with RSA-2048 encryption so the only way to recover your data is using our software. We will decrypt 1 file for you to show you will get all data back using our unlocker.
Price will double in 3 days so don't delay!

Перевод записки на русский язык:
Твой платежный ID: ****
Напиши на bnd54@mail2tor.com свой Payment ID в заголовке, чтобы узнать цену и детали оплаты уникальной программы дешифрования.
Файлы шифруются с шифрованием RSA-2048, поэтому восстановить данные можно только нашей программой. Мы расшифруем 1 файл, чтобы показать, что ты вернешь все данные с помощью нашего разблокиратора.
Цена удвоится через 3 дня, так что не медлите!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
***
Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
bnd54@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 18 апреля 2017 г.

ATLAS

ATLAS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-512, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CHIP > DALE > ATLAS

К зашифрованным файлам добавляется расширение .ATLAS
Файлы переименовываются случайным образом. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ATLAS_FILES.txt

Содержание записки о выкупе:
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
Hello! All Your files are encrypted!
For more specific instructions, please contact us as soon as possible:
atlashelp@protonmail.com
atlasfix@protonmail.com
atlasfix@dr.com
Attention: DO NOT USE ANY PUBLIC DECRYPTERS!
YOU CAN DAMAGE YOUR FILES!
Kind regards, Support Team.
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22
YOUR ID:bd25b3c75685487dg3gb3fc56f12653h22

Перевод записки на русский язык:
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
Привет! Все твои файлы зашифрованы!
Для получения точных инструкций напиши нам как можно скорее:
atlashelp@protonmail.com
atlasfix@protonmail.com
atlasfix@dr.com
Внимание: НЕ ИСПОЛЬЗУЙ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ!
ТЫ ПОВРЕДИШЬ СВОИ ФАЙЛЫ!
С лучшими пожеланиями, Команда поддержки.
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22
ТВОЙ ID:bd25b3c75685487dg3gb3fc56f12653h22

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ATLAS_FILES.txt
<random>tmp.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Marcelo Rivero
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 17 апреля 2017 г.

CoNFicker

CoNFicker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название, указанное в записках и на файле. Фальш-имя: Microsoft Office.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .conficker


Коллаж от автора блога

Этимология названия
В имени этого крипто-вымогателя CoNFicker обыгрывается название Conficker, под которым ранее был известен компьютерный вирус, наделавший много шума в 2008-2009 годах и приведший к убыткам на сумму около 9.1 млрд долларов. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Decrypt.txt 


 

Содержание записки о выкупе:
C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E
#####
Attention! Attention! Attention! Your Files has been encrypted By C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E 
#####   
Send 0.5 Bitcoin To @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @  
#####
If Send 0.5 Bitcoin We will send you the decryption key C_o_N_F_i_c_k_e_r Decryptor    
#####

Перевод записки на русский язык:
C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E
Внимание! Внимание! Внимание! Твои файлы зашифрованы C_o_N_F_i_c_k_e_r   R_A_N_S_O_M_W_A_R_E 
Пришли 0.5 биткоина на @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @  
Если пришлешь 0.5 биткоина мы отправим тебе ключ дешифровки C_o_N_F_i_c_k_e_r Decryptor

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransomwarefineched.exe
Decrypt.txt
C_o_N_F_i_c_k_e_r Decryptor.exe
winrar Setup 2017.exe
winrar 2017.exe
conficker.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Conficker)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Malabu

Malabu Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Оригинальное название: Malabu. Другое, указанное на файле: MALABU-X. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fucked

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
YOUR WINDOW IS HACKED
ALL YOUR FILES, DOCUMENTS, DATAS, VIDEOS, PICTURES, MP3s ARE ENCRYPTED. YOUR COMPUTER SCREEN IS ALSO LOCKED. 
YOU'VE BEEN HACKED WITH MALABU RANSOMWARE.
YOU WILL PAY US $500 INTO OUR BITCOIN ADDRESS BELOW AND WE WILL GIVE YOU THE KEY TO DECRYPT, AND YOU WILL GET YOUR FILES BACK. AFTER 48 HRS, YOU WILL PAY $1000 MORE. WE DON'T GIVE A FUCK.. IF YOU DELAY, YOU LOOSE ALL
1EBbTjEmGN2w5kUN6uPLyU5e8x7zjRt8J
[Hide More Details]
(1) LOOK FOR BITCOIN SERVICES ONLINE
(2) REGISTER AND GET A BITCOIN WALLET
(3) BUY $500 BITCOIN ONLINE
(4) PAY INTO OUR BITCOIN ADDRESS ABOVE(IN YELLOW)
(5) PAY WITHIN 48 HOURS OR YOU WILL PAY $1000 AFTER
(6) FAILURE TO PAY WITHIN A WEEK MAKES YOU TO LOOSE ALL
(7) SEND YOUR PAYMENT DETAILS TO OUR EMAIL
steverusell@mail.com 
(8) WE WILL GIVE YOU THE KEY TO DECRYPT \ REMOVE THE MALWARE
ENTER KEY [***] [Decrypt] 

Перевод текста на русский язык:
Ваша система взломана
Все ваши файлы, документы, данные, видео, картинки, mp3 зашифрованы. Экран вашего компьютера также блокирован.
Вас взломали с Malabu Ransomware.
Заплатите нам $500 на наш биткойн-адрес ниже, и мы дадим вам ключ к расшифровке, и вы вернёте ваши файлы. Через 48 часов вы заплатите уже $1000. Мы не шутим. Если вы не поторопитесь, то потеряете всё
1ebbtjemgn2w5kun6uplyu5e8x7zjrt8j
[Скрыть подробности]
(1) ищите онлайн-сервисы по биткойнам
(2) регистрируйтесь и получите биткойн-кошелек
(3) купите онлайн биткойны на $500
(4) отправьте на наш биткойн-адрес выше (в жёлтом)
(5) заплатить в течение 48 часов или вы заплатите $1000 после
(6) неуплата в течение недели заставит вас потерять всё
(7) отправьте детали платежа на наш email-адрес
steverusell@mail.com
(8) мы дадим вам ключ к дешифровке \ удалению вредоноса
Введите ключ [***] [Дешифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MALABU-X.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
steverusell@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

Это пятисотый пост в блоге!!!

© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *