понедельник, 31 июля 2017 г.

Sifreli

Sifreli Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует купить пароль, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .sifreli 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. 
В 2014 г. был известен вымогатель с таким же названием, возможны родство или имитация. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
!!! SİSTEMİNİZ HACKLENDI!!!
Merhabalar,
Ben sistem açıklarını araştırıp bulan ve bu şekilde para kazanan bir sistem mühendisiyim.
Şirketinizin sistemlerinde bir açık buldum ve sisteminizi hackledim.
Şirketinizle ilgili bütün bilgilerinizi ele geçirdim ve sisteminizdeki ayrıca ağınızdaki tüm verileri şifreledim. Şayet bu bilgileri geri almak isterseniz ve şifreyi satın almak için benimle iletişime geçiniz.
e-mail: muhendis@mail.ua
Aksi taktirde ele geçirilen bilgiler internet ortamında yayınlanacaktır.
***
Encrypted Session Key:
A7198E2418228817B96F8(85F228C4(FD1014EF4E06F8589F5236ADE D28E34 F4574838F61CF9352ADE55777539007D62729A7B8CF17DD54E07DD56E7867A6413ABF8295D8C4F
***

Перевод записки на русский язык:
!!! ТВОЯ СИСТЕМА ВЗЛОМАНА !!!
Привет всем,
Я системный инженер, исследую системы и получаю деньги за работу.
Я нашел уязвимую систему в вашей компании, и я взломал вашу систему.
Мы захватили всю информацию о вашей компании, и я также шифровал все данные по сети в вашей системе. Если вы хотите получить эту информацию, то, пожалуйста, свяжитесь со мной, чтобы купить пароль.
Email: muhendis@mail.ua
В противном случае захваченная информация будет опубликована в Интернете.
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<txt_file>.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhends@mail.ua
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up (2014), Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

FCP

FCP Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем сообщает, как вернуть файлы. Оригинальное название: FCPRansomware. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы только переименовываются. 
Примечательно, что собственный декриптер возвращает файлы в нормальное состояние. 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_HELP_ME.txt
Другим информатором жертв выступает экран блокировки, где написан текст на китайском и английском:

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
... Here the text is written in Chinese ...
Is the content of your files not readable? It is normal, because your important files have been encrypted by the "FCP Ransomware". It means your files are NOT DAMAGED! Your files are just encrypted. From now it is not possible to use your files until they will be decrypted. The only way to decrypt your files safely is use special decryption tool "FCP Decryptor". Please wait for "FCP Decryptor" to start automatically. If "FCP Decryptor" does not start automatically, open "FCP Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
... Здесь текст написан на китайском языке ...
Содержимое ваших файлов недоступно для чтения? Это нормально, потому что ваши важные файлы были зашифрованы "FCP Ransomware". Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы. Пока файлы не будут дешифрованы, использовать файлы невозможно. Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FCP Decryptor". Подождите, пока "FCP Decryptor" запустится автоматически. Если "FCP Decryptor" не запускается автоматически, откройте "FCP Decryptor" на рабочем столе.


Окна декриптера




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_HELP_ME.txt
FCPRansomware.exe
FCPDecryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FCPRansomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

воскресенье, 30 июля 2017 г.

BTCWare-Gryphon

Gryphon Ransomware 
BTCWare-Gryphon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GRYPHON RANSOMWARE. На файле может быть написано, что угодно.
BTCWare-Gryphon Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Gryphon 

К зашифрованным файлам добавляется составное расширение по шаблону
.[decr@cock.li].gryphon

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.txt

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола, с тем же текстом. [Нет картинки]

Содержание записки о выкупе:
=== GRYPHON RANSOMWARE ===
Your documents, photos, databases and other important files have been encryptedcryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: decr@cock.li
In subject line write "encryption" and attach your ID in body of your messagealso attach to email 3 crypted files. (files have to be less than 2 MB)
It is in your interest to respond as soon as possible to ensure the restorationof your files, because we wont keep your decryption keys at our server more thanone week in interest of our security.
Only in case you do not receive a response from the first email addresswithit 48 hours, please use this alternative email adress: decrsup@cock.li
Your personal identification number:
Hj4zGkDR*****
=== GRYPHON RANSOMWARE ===

Перевод записки на русский язык:
=== GRYPHON RANSOMWARE ===
Ваши документы, фото, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - "GRYPHON DECRYPTER",
Использование других инструментов может привести к повреждению ваших файлов, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на e-mail: decr@cock.li
В строке темы напишите "шифрование" и прикрепите свой ID в теле вашего сообщения, а также приложите к email 3 зашифрованных файла. (файлы должны быть меньше 2 МБ)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более недели в интересах нашей безопасности.
Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: decrsup@cock.li
Ваш личный идентификационный номер:
=== GRYPHON RANSOMWARE ===



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
 cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
 vssadmin.exe Delete Shadows /All /Quiet
 cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} recoveryenabled No
 cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
HELP.txt

Расположения:
\%APPDATA%\<random>.exe
\%APPDATA%\HELP.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decr@cock.li и decrsup@cock.li
payoff@cock.li и payoff@bigmir.net
chines34@protonmail.ch и oceannew_vb@protonmail.com См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 3 августа 2017:
Расширение: .[payoff@cock.li].gryphon
Email: payoff@cock.li и payoff@bigmir.net
Записка: HELP.txt
<< Скриншот записки





Обновление от 4 августа 2017:
Расширение: [chines34@protonmail.ch].gryphon
Email: chines34@protonmail.ch и oceannew_vb@protonmail.com
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки
Видеообзор >>





Обновление от 10 августа 2017:
Статья на BC >>
Расширение: .[gladius_rectus@aol.com   ].crypton
Записка: HELP.txt
Email: gladius_rectus@aol.com
gladius_rectus@india.com 
Результаты анализов: HA+VT
<< Скриншот записки

Обновление от 11 августа 2017:
Расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Результаты анализов: HA + VT
<< Скриншот записки




Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширение: .[universe1@protonmail.ch].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: universe1@protonmail.ch и universe11@bigmir.net
Результаты анализов: VT
<< Скриншот записки


Обновление от 15 августа 2017:
Пост в Твиттере >>
Расширение: .[black.world@tuta.io].gryphon
Email: black.world@tuta.io
Результаты анализов: VT

Обновление от 15 августа 2017:

Расширение: .[darkwaiderr@tutanota.com].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: darkwaiderr@tutanota.com и darkwaiderr@gmx.de





Обновление от 21 августа 2017:
Расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки и заш-файлов




Обновление от 26 августа 2017:
Расширение: .[decrypt24@protonmail.com].gryphon
Email: decrypt24@protonmail.com
Результаты анализов: VT

Обновление от 26 августа 2017:
Пост в Твиттере >>
Расширение: .[black.world@tuta.io].nuclear
Шаблон: .[<email>].nuclear
Email: black.world@tuta.io
Другой RSA-ключ. 
Записка: %APPDATA%\HELP.hta
<< Скриншот записки
Результаты анализов: HA+VT
См. мою статью BTCWare-Nuclear Ransomware >>

Обновление от 29 августа 2017:
Расширение: .[asdqwer123@cock.li].nuclear
Шаблон: .[<email>].nuclear
Email: asdqwer123@cock.li

Обновление от 5 сентября 2017:
Расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc
Результаты анализов: VT

Обновление от 11 сентября 2017: 
Расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
Оплата:  0.5 BTC
Результаты анализов: VT
<< Скриншот записки и скриншот файлов (ниже)



Обновление от 25 сентября 2017: 
Составное расширение: .[goldwave@india.com]-id-<id>.nuclear
Email: goldwave@india.com
Результаты анализов: VT


Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter для дешифровки >>
Поддерживаются расширения: 
.btcware, .cryptobyte, .cryptowin, .theva, .onyon, .blocking, 
.master, .aleta, .gryphon, .crypton, .nuclear, .wyvern
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Gryphon)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

суббота, 29 июля 2017 г.

IsraBye

IsraBye Ransomware

(фейк-шифровальщик, деструктор)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем показывается вызывающее анти-израильское заявление. Оригинальное название. На файле написано:  israbye.exe. Разработчик: Ahmed. Среда разработки: Visual Studio 2012.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется расширение .israbye 
На самом деле содержимое файлов перезаписывается анти-израильским сообщением, после чего вернуть файлы, видимо, невозможно. 

Активность этого крипто-вымогателя пришлась на конец июля - начало августа 2017 г. Ориентирован на англоязычных и арабоязычных пользователей, что не мешает распространять его по всему миру. Разработчик ненавидит Израиль и проклинает его в своем послании. 

Запиской с требованием выкупа выступает эпатажный экран блокировки и скринлок, встающий обоями рабочего стола. К курсору прикрепляется курсор-надпись END or ISRAEL.
 

Содержание текста с экрана:
What Happened to My Computer ?
All Your files and data are Fucked For Ever ! 
Can i Recover My Files ?
Sure you can recover your files and guarantee that For Free..! 
When will i recover your files ?
you will recover your files when we recover Palestine, When we recover Al AQSA, When we Recover Our Victims, Our Souls, Our Freedom.
***

Перевод текста на русский язык:
Что случилось с моим компьютером?
Все ваши файлы и данные гребаны навсегда!
Могу ли я вернуть мои файлы?
Конечно, вы можете вернуть свои файлы и гарантированно бесплатно ..!
Когда я смогу вернуть ваши файлы?
Вы вернёте свои файлы, когда мы вернём Палестину, когда мы вернём Эль-Аксу, когда мы вернём наши жертвы, наши души, нашу свободу.
***




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, а только перезаписываются. 
Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Данный вредонос модульного типа, т.е. состоит из пяти разных исполняемых файлов. При запуске IsraBye.exe начинает уничтожать файлы на всех подключенных дисках, заменив их содержимое на текстовое сообщение.

Деструктивное сообщение: 
Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare. 
Перевод на русский язык:
*** [username] Вы никогда не вернёте свои файлы, пока Израиль не исчезнет. 

Когда Israbye завершит зачистку данных на всех дисках, он извлечёт 4 файла Cry.exe, Cur.exe, Lock.exe и Index.exe из исполняемого файла IsraBye.exe и запустит их. Каждый из этих файлов выполняет другую функцию, описанную ниже.

Cry.exe сменит обои на рабочем столе на файл wallper.jpg с анти-израильским и пропалестинским сообщением. 

Cur.exe прикрепит к курсору изображение-надпись "END or ISRAEL", которое будет следовать за курсором мыши.  

Lock.exe выполняет три функции. Сначала он ищет процессы procexp64, ProcessHacker, taskmgr, procexp, xns5 и завершает их. Затем он запускает Index.exe, а копирует основной файл Israbye.exe в корень других дисков как файл с именем ClickMe.exe, чтобы распространять вредоносное ПО. 

Index.exe отображает экран блокировки, извлекает звуковой файл source.wav и воспроизводит его. 

При работе вредоноса повреждаются только файлы на рабочем столе и в папке "Загрузки". Файлы в папке "Program Files" остаются нетронутыми. 

Специалисты обнаружили, если создать ложный файл ClickMe.exe в папке %Temp%, то IsraBye падает при первом запуске.

Файлы, связанные с этим Ransomware:
israbye.exe
cry.exe
cur.exe
lock.exe
index.exe
wallper.jpg
wallper.exe
ClickMe.exe
source.wav

Расположения:
%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\index.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cry.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cur.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\wallper.exe

IsraBye.exe извлекает cry.exe, cur.exe, lock.exe, index.exe
cry.exe создаёт %TEMP%\wallper.jpg
cry.exe создаёт %TEMP%\wallper.exe
lock.exe создаёт %TEMP%\ClickMe.exe
index.exe создаёт %TEMP%\source.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (Israbye)
 Write-up, Topic of Support
 Video review
 Thanks: 
 JakubKroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

пятница, 28 июля 2017 г.

Storm

Storm Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Stub.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello You Are Hacked Now !! All your personal files have been encrypted ! if you want restore your data you have to pay ! Remember you can't restore your data without our decryptor !!!!
Send mony to my bitcoin: ertyuioppoiuhygtfrdeRFTGYHDEZEFFZEF [Copy]
Contact Me: StormRansomware@gmail.com

Перевод записки на русский язык:
Привет, вы взломаны! Все ваши личные файлы  зашифрованы! Если хотите восстановить свои данные, то вам придется платить! Помните, что вы не сможете восстановить свои данные без нашего дешифратора !!!!
***
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .aepx, .class, .docb, .docm, .docx, .dotm, .dotx, .idml, .indb, .indd, .indl, .indt, .java, .jpeg, .m3u8, .mpeg, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prproj, .sldm, .sldx, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx (34 расширения). 
Это документы MS Office, текстовые файлы, базы данных, фотографии, видео и пр.

Файлы, связанные с этим Ransomware:
Stub.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: StormRansomware@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Storm)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam  
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

четверг, 27 июля 2017 г.

Spongebob

SpongeBob Ransomware

(фейк-шифровальщик, тест-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Spongebob. На файле написано: KKKryptoLocker.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:выясняется.

Файлы не шифруются. К незашифрованным файлам никакое расширение не добавляется.
В коде замеченs следующие знаки, по совокупности похожие на мордашку SpongeBob: ...;._.;

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком: SPONGEBOB RANSOMWARE 2.0

Содержание текста о выкупе:
WHAT HAPPENED TO MY COMPUTER?
---
Your important files are encrypted.
Many of your documents, photos, videos, databases andother files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files withoutour decryption service.

CAN I RECOVER MY FILES?
---
Sure. We guarantee that you can recover all your files safely and easily. But you dont havemuch time left.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.You only have 3 days to submit the payment. AFter that the price will be doubles.Also, if you don't pay in 7 days, you won't be able to recover your files forever. We will have free events for users who are so poor that they couidn't py in 6 months. 

***
---
- Payment is accepted in Bitcoin only. For more information on Bitcoin, click <About Bitcoin>
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>.

Перевод текста на русский язык:
ЧТО С МОИМ КОМПЬЮТЕРОМ?
---
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы ищите способ восстановить свои файлы, но не тратьте своё время. Никто не может восстановить ваши файлы без службы расшифровки.

МОЖЕТ ЛИ ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
---
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас нет времени.
Вы можете бесплатно расшифровать некоторые ваши файлы. Попробуйте, нажать кнопку <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить. У вас есть только 3 дня, для платежа. Скорее всего, цена будет удвоена. Также, если вы не заплатите за 7 дней, вы никогда не сможете восстановить свои файлы. У нас будут бесплатные мероприятия для пользователей, которые так бедны, что не могут заплатить через 6 месяцев.

***
---
- Оплата принимается только в биткойнах. Для получения информации о биткойне нажмите кнопку <About Bitcoin>
Пожалуйста, проверьте текущую цену биткойна и купите несколько биткойнов. Для получения информации нажмите кнопку <How to buy Bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне.
После оплаты нажмите кнопку <Check Payment>.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KKKryptoLocker.exe (svchost.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton