четверг, 31 августа 2017 г.

Arena CryptoMix

Arena Ransomware

Arena CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Arena

К зашифрованным файлам добавляется расширение .arena

Примеры зашифрованных файлов: 
1C0845081CCACEB0D0BFB73C1ED2B2F8.arena
331AA7BA31D29A55FF8E019634547E9D.arena
F06C3C509054X0B7D28ZCDDBB17087B9C3E.arena

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
Arena CryptoMix ransom note

Содержание записки о выкупе:
All your files have been encrypted! 
If you want to restore them, write us to the e-mail : ms.heisenberg@aol.com 
Write this ID in the title of your message DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 number number 
In case of no answer in 48 hours write us to theese e-mails : ms.heisenberg@aol.com 
You have to pay for decryption in Bitcoins. 
The price depends on how fast you write to us. 
After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee 
Before paying you can send us up to 1 files for free decryption. 
The total size of files must be less than 2 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
xxxxs://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beg 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Если вы хотите их восстановить, напишите нам на e-mail: ms.heisenberg@aol.com
Напишите этот ID в заголовке вашего сообщения. DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 номер номер 
В случае отсутствия ответа в течение 48 часов напишите нам на эти email: ms.heisenberg@aol.com
Вы должны заплатить за дешифрование в биткоинах.
Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия 
Перед оплатой вы можете отправить нам до 1 файла для бесплатного дешифрования.
Общий размер файлов должен быть менее 2 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины 
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs: //localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и попросить



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDA3BRgzCL3mmmPIKa8ZLsOWcbodwdpNArYdLO5PQ5enUQYr572jmnGoF5WKy65p41H7WTeWV/ZMXHKUJS87daeGI/C YvPlgpx6ZDuqSVxMLgXDM1vKbJeuoWuZSeo+Kdy1W22CD3amy3a1HCISX068zaVr wKkQqaz3tS2h+JYZ/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCAcL2bv8UxRqZ6DD5VHvsNCAh/ e18CEHVeff1kfCDIB4D9q3/Yu59Mq9P5H7E94m0YlN57eZmJ7uiJth/6/MExv+uw L5izNB/b5CKMuSaqqUsQY27P3yTIfSyWrqQ6Hk2TDljytlvceSFwpWdEFn6B5a5p KnRMzKMSre7zrIUm+QIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK3KhGZ0Tp5NnWzTT8qQSoXNBf noIUpn3M1ubJf8Z6lb2xGWIYPDpmF+H4yKTPZ20vc49SQ6Dbrdwc0/6TzykOMdOv 9BJWYT75kwEufiqv0Gy9ZHKhlpAXJkrWoOMonFqS4T6HOTdkiN+shadQt299bUlu f+TqSqhkhz6Cp9IHbwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8tcLsf2h4fuaJRl9CBkDA5Bs+ CnqGgyOyi3ntolggyIyFcUtiU2mCHMBANUnAjp5Hxk0ODI4ZtlokYgpOWZOP6XYV r5ZGTRzz1IN7ahOSFTpMwCqlafPPqzdAWINdFWQUAaNtNxYwo6jCRyeTTKKNWpH3 Ia4iP9SJjXaytOtbzQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCC6OGfuH1Ht732u4UomMTGb1Kd uQawHQUvhMYzFrWK3x5IMCXnkjJCfGEBcF0FqIMTiYQsY4v2I/71nntIUFLn/usO McdJMMoXCZcErvV8PFRYz7p3QEqKnleUJt10ncib7pZkgqfP5cSx7xymJnj+/fZH 9yVmOlshSkZqNbt6dwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCk9ZSRC7RxXXihK28uJzFY5iAY 2mgaUU16jGijYai5rZGCt5e9+e412HuPlQYvueOsK7bkyCKlnITbYCzYDOXv+k++ Kk9qi7atez0EcPT77cSrWoC/ENFsmdX/kznw3nbxjyVkoSZzFh+MPM50xCl1f05b eHUwrrAaI82GTtQ7DQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHAlC0tOBzqZxJbBpF9qi7jVIz GKmop5KMyZ0SmtShlC4ily37+/TllLq0GWfcUlmepUogmuebAHYFFxblH9PaNCwv MNo+HjMJBLHBchvH4buKtmf/ctaGf3CxFmegE9vG/ne9JiSx6IGe5sK1KZbCPqSO X3IpyKirdSCn33QqWwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCRyCG1kAYipMRe9NKbYX7Z6ndN Ngt3s0sQ1eAYE9+Swnl7etg3KaOhbW0RXIXWW6jMxwrBrGC9JXoLeSe3jREf1lWI nPw/p2GKvERVuf1V+LG0n7fPlKPDLWGhUwi4LxiHmZhrygkG+PBQEhPhyiM7db84 F+QbhSzrRpgPKnMeTQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC9n6bm9GC3UQ8OOB+ahHYuIS3k jkUBOXyKEJKaiebSShdi5pUDAxiObWcks9Ql9Vb/z0S+6h0Ot1iOH9jUQlWlQ8Kt SOoli2eg/Jq42PWL4qW7ejc6qO8KmPvMtsZEqrcwC9Xv0lpx50Xp+cXXf+DUIhhS 7DOwxl7QGcts+oGkpwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC61mhlwTQ1ZfkjWzTVD5LIvRB+ K87a51nEGOeXBHg8zTGYuZfd0vVh+p9G2p1wNtV9pzfHmzVOBGVVl0pGfB+J4DBP XYUWXYOTswCKRr0jI/xc9Xj9OFqfTJ57mRRb7tcsQyqtwdD90G+9cnftgJsh7XKW cBrGYGrFO7FofO0c/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCJdY+JyIV0ZS0QtaD4qvBUl9zI 1Sgt0D1AABnFLoPWJeZsuFnlTf20AS8nfsf0KTPnLFPRx6VKE4DcW66d+Y6gjvnn HfaKU9m+N4KWFV3kyuI3QIaNRDTbcwebA6/93lS9mpNBrOJOhkesYmOJgH80tzOP iYvj9fsEUzVtHNewMwIDAQAB
-----END PUBLIC KEY-----


Выполняет деструктивные команды:
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
bars.exe
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://constructioninc.zzz.com.ua/bars.exe***
Email: ms.heisenberg@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 Video Review
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 30 августа 2017 г.

OhNo!

OhNo! Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в крипто-валюте Monero (XMR), чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .OhNo!

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно, выступающее как экран блокировки с текстом о выкупе.

Содержание текста о выкупе:
OhNo!
You have been, infected with OhNo! ALL your Documents, Downloads, and Desktop have been Encrypted with a Unique Key to your System. Each Key is a TOTALLY Random Key specific to that Machine. Please Pay 2. XMR to the specified address below and you will receive a Email with your Key. Monero (XMR) is a cryptocurrency based on 100% annoymous transactions. You can find how to purchase Monero by using Google. If you can't figure out how to Buy XMR, you probably shouldn't have a PC.
- Goodluck
XMR ADDRESS: 44edA37JgbcWGxKMB***

Перевод текста на русский язык:
О нет!
Вы были инфицированы OhNo! ВСЕ ваши Документы, Загрузки и Рабочий стол были зашифрованы с уникальным к вашей системе ключом. Каждый Ключ представляет собой ПОЛНЫЙ случайный ключ, специфичный для этой машины. Пожалуйста, оплатите 2 XMR по указанному ниже адресу, и вы получите на email ваш ключ. Monero (XMR) - это криптовалюта, основанная на 100% анонимных транзакциях. Вы можете найти, как купить Monero с помощью Google. Если вы не можете понять, как купить XMR, вы, вероятно, не должны иметь ПК.
- Удачи
XMR ADDRESS: 44edA37JgbcWGxKMB***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрует файлы, находящиеся в пользовательских папках "Документы", "Загрузки" и на Рабочем столе.

Список файловых расширений, подвергающихся шифрованию:
.7z, .bmp, .csv, .dll, .doc, .docx, .exe, .gif, .gz, .jpeg, .jpg, .lnk, .midi, .mp3, .pdf, .png, .ppt, .pptx, .txt, .wav, .wpd, .xlsm, .xlsx, .zip (24 расширения).
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Google Chrome.exe
3577.bat

start.exe
wallpaper.jpg
$pcname.key

Расположения:
%TEMP%\3576.tmp\3577.bat C:\9c367c66d64790286fbd36074cc7af4af05df22a5b3d83f827f5d3138a8f1836.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMR: 44edA37JgbcWGxKMBCj94JZu7LQ95rASfRaUe8KMida5ZiQwHxsBv2EjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3df9K3y
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as OhNo!)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KeyMaker

KeyMaker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: KeyMaker. На файле написано: KeyMaker.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> KeyMaker

К зашифрованным файлам добавляется расширение .CryptedOpps

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Opps all your files have been encrypted with crytp0lock
You can unlock your files by paying 200 dollars in bitcoin
Send payment too bitcoin address 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE you can also contact us at Wecanhelp@protonmail.com for other payments or questions.
You have 2 days to PAY before timer starts deletion of files.

Перевод записки на русский язык:
Упс, все ваши файлы были зашифрованы с помощью crytp0lock
Вы можете разблокировать свои файлы, заплатив 200 долларов в биткоинах
Отправить платеж на биткоин-адрес 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE вы также можете связаться с нами по адресу Wecanhelp@protonmail.com для других платежей или вопросов.
У вас есть 2 дня, чтобы заплатить, прежде чем таймер начнет удаление файлов.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
KeyMaker.exe

Расположения:
\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxx://lawoffices.000webhostapp.com/Great/key.php***
Email: wecanhelp@protonmail.com
BTC: 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

USBR

USBR Ransomware
HiddenTear Offline Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: USBR.exe
файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> USBR (HiddenTear Offline)

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:
Files has been encrypted
Send me some of your salary in bitcoins or you will lose your file
Cheers, is not end of the world

Перевод записки на русский язык:
Файлы были зашифрованы
Пошлите мне часть зарплаты в биткоинах или потеряете свой файл
Радуйтесь, это не конец света



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
USBR.exe
hidden-tear-offline.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haze

Haze Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные жёсткий диск, а затем требует выкуп в 25€ PaysaveCard, чтобы вернуть файлы. Оригинальное название: Haze Virus и HazeRansomeware. На файле написано: HazeRansomeware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Визуально имитирует работу крипто-вымогателя Petya: мигают красный и желтый экраны, потом на красном фоне выводится сообщение о выкупе. 

Запиской с требованием выкупа выступает текст на экране. 

Содержание текста о выкупе:
Welcome to haze Virus
The harddisks of your computer have been locked with a military grade encryption algorthm. There is no way to restore your data without a special key. You can get this key for 25€ if you folow the steps below.
1.Enter your E-Mail address below.
2.Enter a 25€ Paysavecard code below.
3.Click on ok, after a few time you will get a E-Mail from us with the Key.
Enter your E-Mail address: [   ]
Enter 25€ Paysavecard code: [   ]
Enter your Key: [   ]

Перевод текста на русский язык:
Приветствие от туманного вируса
Жесткие диски вашего компьютера были заблокированы с алгоритмом шифрования военного класса. Невозможно вернуть данные без специального ключа. Вы можете получить этот ключ за 25 €, если выполните следующие шаги.
1. Введите email-адрес ниже.
2. Введите 25€ код Paysavecard ниже.
3. Нажмите ОК, через некоторое время получите от нас email с ключом.
Введите ваш email-адрес: [ ]
Введите 25€ код Paysavecard: []
Введите ваш ключ: []


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
На данный момент ничего не шифрует. 
Это могли бы быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HazeRansomeware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 августа 2017 г.

StrawHat

StrawHat Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: StrawHat PDF. На файле написано: StrawHat PDF.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным, а точнее переименованным файлам добавляется случайное расширение <random>

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_ARE_ENCRYPTED.html
YOUR_FILES_ARE_ENCRYPTED.txt

Содержание записки о выкупе:
YOU BECAME VICTIM OF THE STRAWHAT RANSOMWARE!
The files on your computer have been encrypted with an military grade
encryption algorithm. There is no way to restore your data without a special decryption program.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcois. The price depends on how fast you
write to us.
Contact us for payment instructions and after you paid we will send you the decryption tool that will decrypt all your files.
Personal identifier: hpRXignKoOzlJnlsJblSOo3nQxUIs4kDX8
Contact email address: xxxxxxx@xxxx.xxx

Перевод записки на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ STRAWHAT RANSOM WARE!
Файлы на вашем компьютере были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специальной программы расшифровки.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, насколько быстро вы напишите нам.
Свяжитесь с нами для получения инструкций по оплате, а после оплаты мы вышлем вам программу дешифрования, которая дешифрует все ваши файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
StrawHat PDF.exe
Rechnung 201708.pdf.exe
YOUR_FILES_ARE_ENCRYPTED.html
YOUR_FILES_ARE_ENCRYPTED.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MindSystem

MindSystem Ransomware 

MindSystem 2017 Ransomware 

MindSystemNotRansomWare Eduware

(шифровальщик-вымогатель, шифровальщик-обучатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем называет себя "только для образования". Вернуть файлы можно с помощью оригинального декриптера. Оригинальное название варьируется. На картинке написано: MindSystem Ransomware и MindSystem 2017. На файле написано: MindSystemNotRansomWare.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .mind

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, загружаемое с сайта noelshack.com и встающее обоями рабочего стола.

Содержание текста с картинки:
[Your files has been encrypted by MindSystem Ransomware]
To Recover them, just use the decryptor with your unique key
For education only! MindSystem 2017

Перевод текста на русский язык:
[Ваши файлы были зашифрованы MindSystem Ransomware]
Для их восстановления используйте дешифратор с уникальным ключом
Только для образования! MindSystem 2017


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MindSystemNotRansomWare.exe
file.jpg
key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://image.noelshack.com/fichiers/2017/31/2/1501621309-ransomware.png
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 27 августа 2017 г.

Ransom Prank

Ransom Prank Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransom Prank. На файле написано: Ransom Prank.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your Computer is Locked !
Your importing files are encrypted !
Many of your documents, photos, viedos, databases an other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waster your time. Nobody can recover your files without our decrytionservice
Can I Recover My Files?
Sure. We garantee that you can recover all your flies safely and easily. But you have not so much time.
You have only 3 days to submit the payment. After that the price will be doubled.
Also if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 month.
How Do I Pay?
Payment is accepted in Bitcoin only. Go online for more information.
Please check the current price of Bitcoin an buy some bitcoins.
And send the correct amount to the address specified in this window.
Once the payment is checked, you can start decrypting your files by getting the DecrytionCode.
Send 0.5 Bitcoin to ...

Перевод записки на русский язык:
Ваш компьютер блокирован!
Ваши важные файлы зашифрованы!
Многие из ваших документов, фото, видео, базы данных и другие файлы теперь не доступны, т.к. они были зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не теряйте время. Никто не может восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все свои файлы безопасно и легко. Но у вас мало времени.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Также, если вы не платите за 7 дней, вы уже никогда не сможете восстановить ваши файлы.
У нас будут бесплатные мероприятия для пользователей, которые так бедны, что они не могли заплатить через 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Заходите в интернет для получения дополнительной информации.
Пожалуйста, проверьте текущую цену биткоина на покупку некоторых биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
Как только платеж будет проверен, вы можете начать дешифрование своих файлов, получив код дешифровки.
Отправить 0.5 биткоин ...


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На данный момент файлы не шифруются.

Код разблокировки: 12345

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 
После реализации функции шифрования это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransom Prank.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *