среда, 18 апреля 2018 г.

Satyr

Satyr Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Spartacus ⟺ Satyr

К зашифрованным файлам добавляется расширение .Satyr

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satyr)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 17 апреля 2018 г.

Scarab-XTBL

Scarab-XTBL Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Extensible Associatewith Kek Addresses Rutinely Buttons. Фальш-копирайт: 2006-2014 RonyaSoft
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> выясняется.

К зашифрованным файлам добавляется расширение .xtbl

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Открытые мьютексы: 
ShimCacheMutex
STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Win98.exe
systems.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\AppData\systems.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: joxe1@cock.li
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 15 апреля 2018 г.

Spartacus

Spartacus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email вымогателей, прислать открытый ключ (ID KEY), чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: не указано. На файле написано: SF.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Spartacus ⟺ Satyr

К зашифрованным файлам добавляется расширение .Spartacus 
Фактически используется составное расширение .[MastersRecovery@protonmail.com].Spartacus 

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your data has been locked us. 
You want to return? 
Write email MastersRecovery@protonmail.com or MastersRecovery@cock.li 
Your personal ID KEY: DvQ9/mvfT3I7U847uKcI0QU3QLd+huv5NOYT2YhfiySde0vhmkzyTtRPlcu73BAJIL***

Перевод записки на русский язык:
Все ваши данные заблокированы нами.
Вы хотите вернуть?
Пишите на email MastersRecovery@protonmail.com или MastersRecovery@cock.li 
Ваш личный ID КЛЮЧ: DvQ9/mvfT3I7U847uKcI0QU3QLd+huv5NOYT2YhfiySde0vhmkzyTtRPlcu73BAJIL***

Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:


Содержание текста о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the e-mail:
MastersRecovery@protonmail.com and send personal ID KEY:  8eXlh5+nL+2tZ5Ou6enn0rF53WukeWauhmilQcdpitGX1***
In case of no answer in 24 hours us to theese e-mail: MastersRecovery@cock.li
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as quarantee
Before paying can send us up to 5 files for free decryption. Total size of file must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click "Buy bitcoins", and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
xxxxs://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try decrypt your data using party software, it may cause permanent data loss.
Decryption of your files with the help of thrid parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод текста на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их вернуть, напишите нам на email:
MastersRecovery@protonmail.com и пришлите личный ID КЛЮЧ:  8eXlh5+nL+2tZ5Ou6enn0rF53WukeWauhmilQcdpitGX1***
В случае без ответа за 24 часа нам на email: MastersRecovery@cock.li
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файла должен быть меньше 10 Мб (не архивный), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т.д.).
Как получить биткоины
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
xxxxs://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать данные с помощью программ сторонних производителей, это может привести к потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командой:
cmd.exe /c vssadmin.exe delete shadows /all /quiet

 Используется жёстко закодированный закрытый RSA-ключ:
xA4fTMirLDPi4rnQUX1GNvHC41PZUR/fDIbHnNBtpY0w2Qc4H2HPaBsKepU33RPXN5EnwGqQ5lhFaNnLGnwYjo7w6OCkU+q0dRev14ndx44k1QACTEz4JmP9VGSia6SwHPbD2TdGJsqSulPkK7YHPGlvLKk4IYF59fUfhSPiWleURYiD50Ll2YxkGxwqEYVSrkrr7DMnNRId502NbxrLWlAVk/XE2KLvi0g9B1q2Uu/PVrUgcxX+4wu9815Ia8dSgYBmftxky427OUoeCC4jFQWjEJlUNE8rvQZO5kllCvPDREvHd42nXIBlULvZ8aiv4b7NabWH1zcd2buYHHyGLQ==AQAB

 Функционал создания ключа (KeyGenerator) отображен на снимке кода. 

 После запуска Spartacus создается уникальный мьютекс Test, чтобы снова не запускать шифрование.

 Spartacus постоянно удерживает поверх Рабочего стола свой экран блокировки, используя функцию SetForegroundWindow.

Список файловых расширений, подвергающихся шифрованию:
Файлы шифруются только в следующих специальных папках и директориях пользователя, независимо от расширения:
System
ProgramData
Desktop
MyComputer
DesktopDirectory
Favorites
Personal
MyMusic
History
Personal
Downloads
Documents
Pictures
Videos
Music

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
<random>.exe - случайное название
READ ME.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MastersRecovery@protonmail.com
MastersRecovery@cock.li 
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spartacus)
 Write-up, Topic of Support
 * 
 Thanks: 
 Bart
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это 1000-й пост блога
This is 1000th blog post

суббота, 14 апреля 2018 г.

Tron

Tron Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .tron

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Tron":

Содержание записки о выкупе:
All your files are encrypted
What happened to my computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recovery your files, but do not waste your time.
Nobody can recover your files without our decryption service.
Can i Recover my Files?
Sure, We guarantee that you can recover II your files safely and easily.
But you have not so enough time.
You have only have 10 days to submit the payment.
Also, if you don't pay in 10 days, you won't be able to recover your files forever.
How Do I pay?
Payment is accepted in bitcoin only. For more inforrmation, click "How to buy Bitcoin". Please check the current price of bitcoin and buy some bitcoins.
And send the correct amount to the address specifiled in the window.
After your payment you need to write to us on mail.
We will decrypt your files.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until! you pay and the
payment gets processed, if your anti-virus gets updated and removes this software autmatically, it will not be able
to recover your files even if you pay!
Amount 0.05   [Copy]
Bitcoin address DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs   [Copy]
EMAIL support_tron@gmail.com   [Copy]
[HOW TO BUY BITCOIN]

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, т.к. они зашифрованы.
Возможно, вы ищет способ восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете безопасно и легко вернуть файлы.
Но у вас мало времени.
У вас есть только 10 дней, чтобы отправить платеж.
Кроме того, если вы не платите за 10 дней, вы не сможете вернуть свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения информации нажмите "How to buy Bitcoin". Проверьте текущую цену биткоина и купите немного биткоинов.
И отправьте правильную сумму по адресу, указанному в окне.
После оплаты вы должны написать нам на почте.
Мы расшифруем ваши файлы.
Мы очень рекомендуем вам не удалять эту программу и не отключать антивирус некоторое время, пока вы платите и
платеж обрабатывается, если ваш антивирус обновится и автоматически удалит эту программу, она не сможет
восстановить ваши файлов, даже если вы заплатите!
Сумма 0.05  [ Copy ]
Биткоин-адрес DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs  [ Copy ]
EMAIL support_tron@gmail.com [ Copy ]
[HOW TO BUY BITCOIN]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует онлайн-сервис 2ip.ru для определения IP компьютера, проверяя по ссылке адрес. Но это не работает через адресную строку, там нужно вводить адрес и капчу вручную. 

➤ Определив, что IP-адрес у атакованного ПК российский, завершает работу и не шифрует файлы. 

➤ Примечательно, что в коде указаны: Россия, Беларусь и Казахстан.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Tron.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\AppData\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://2ip.ru/geoip/
Email: support_tron@gmail.com
BTC: DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Tron)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 12 апреля 2018 г.

Java NotDharma

Java NotDharma Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле может быть написано, что угодно. Предназначен для ПК под управлением Windows x64. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ✂ Dharma > Java NotDharma

К зашифрованным файлам добавляется расширение .java

Активность этого крипто-вымогателя была в апреле 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt
Java NotDharma Ransomware

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: ffgghtdfg@cock.li

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки пишите нам на email: ffgghtdfg@cock.li



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, а также бэкапы, сделанные программами для резервного копирования, например, StorageCraft.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
Decrypt Instructions.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ffgghtdfg@cock.li
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CyberResearcher

CyberResearcher Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Cyberresearcher.exe и Virus Scan.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> CyberResearcher

К зашифрованным файлам добавляется расширение .CYBERRESEARCHER

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.html

Содержание записки о выкупе:
CYBERRESEARCHER
Your files have been encrypted by CYBERRESEARCHER
Send 2.5 Bitcoins to 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6
Your files will be deleted permanently if the Bitcoins are not sent in the next 48 hours

Перевод записки на русский язык:
CYBERRESEARCHER
Ваши файлы зашифрованы CYBERRESEARCHER
Пришлите 2.5 биткоина на 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6
Ваши файлы будут удалены навсегда, если биткоины не отправите за 48 часов



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cyberresearcher.exe
<random>.exe - случайное название
READ_IT.html

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://cyberresearcher.com/ransomware/write.php***
BTC: 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 11 апреля 2018 г.

MauriGo

MauriGo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES-256 (режим CTR), а затем требует выкуп в 0.7-2.6 BTC, чтобы вернуть файлы. Оригинальное название. Написан на языке Go. Разработчик: mauri870.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ранний Ransomware от mauri870 > MauriGo

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на середину марта - начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.txt 

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
Your documents, videos, images and other forms of data are now inaccessible, and cannot be unlocked without the decryption key.
This key is currently being stored on a remote server. 
To acquire this key, please follow the instructions below before the time runs out. (2018-04-19 12:34:51 - you have 7 days)
Prices to recover yoor files from :
1 machine on your network : 0.7 BTC
Half machines on your network (randomly chosen): 2.6 BTC
All machines on your network : 5 BTC
The BTC must be sent to this address : 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Your hostname : trololol-PC
Your identification number (it is the same for all PC encrypted on your network): ***
After you've send payment to our address, please go to our website (via normal browser):
xxxx://ldqu4hxg2gx6af7j.onion.plus/id/***
xxxx://ldqu4hxg2gx6af7j.onion.link/id/***
xxxx://ldqu4hxg2gx6af7j.tor2web.ch/id/***
If it doesn't work please download Tor Browser on their official page and use this link instead: xxxx://ldqu4hxg2gx6af7j.onion/id/***
Once on the website, leave a simple comment to warn us.
After that we will reply with your decryption key(s) as soon as possible.
To demonstrate our sincerity, you can upload 2 encrypted file on the website and we will decrypt it.
Also please understand that we don't want to taint the reliability of your business. Make a reasonable choice.
Note that if you fail to take action within this time window (7 days), the decryption key will be destroyed and access to your files will be
permanently lost.
Where to buy bitcoins (BTC) ?
Bitcoin is a popular crypto-currency. We advise you to buy coins on https://localbitcoins.com/ because of its speed and anonymity.
You will can pay with Western Union. Wire Transfer...
Of course there are much other ways to get bitcoins (ex: Coinbase), simply type on google "how to buy bitcoins".

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с шифрованием военного класса AES-256.
Ваши документы, видео, изображения и другие формы данных теперь недоступны и не могут быть разблокированы без ключа дешифрования.
Этот ключ в настоящее время хранится на удаленном сервере.
Чтобы получить этот ключ, следуйте приведенным ниже инструкциям до истечения времени. (2018-04-19 12:34:51 - у вас есть 7 дней)
Цены на восстановление ваших файлов от:
1 машина в вашей сети: 0.7 BTC
половина машин в вашей сети (случайно выбранная): 2.6 BTC
все машины в вашей сети: 5 BTC
BTC необходимо отправить по этому адресу: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Ваше имя: trololol-PC
Ваш идентификационный номер (он одинаков для всех ПК, зашифрованных в вашей сети): ***
После того как вы отправите платеж на наш адрес, перейдите на наш веб-сайт (через обычный браузер):
хххх://ldqu4hxg2gx6af7j.onion.plus/id/***
хххх://ldqu4hxg2gx6af7j.onion.link/id/***
хххх://ldqu4hxg2gx6af7j.tor2web.ch/id/***
Если он не работает, загрузите Tor-браузер на их официальной странице и используйте вместо этого ссылку: xxxx://ldqu4hxg2gx6af7j.onion/id/***
На веб-сайте оставьте простой комментарий, чтобы предупредить нас.
После этого мы ответим с вашим ключом дешифрования как можно быстро.
Чтобы продемонстрировать нашу искренность, вы можете загрузить 2 зашифрованных файла на веб-сайт, и мы расшифруем их.
Также, пожалуйста, поймите, что мы не хотим испортить надежность вашего бизнеса. Сделайте разумный выбор.
Обратите внимание: если вы не сможете принять меры в течение этого временного окна (7 дней), ключ дешифрования будет уничтожен, и доступ к вашим файлам будет потерян.
Где купить биткоины (BTC)?
Биткоин - популярная криптовалюта. Мы советуем вам покупать монеты на https://localbitcoins.com/ из-за его скорости и анонимности.
Вы можете оплатить с Western Union. Передача по проводам...
Конечно, есть много других способов получить биткоины (например: Coinbase), просто введите в google "how to buy bitcoins".



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В систему также устанавливается майнер криптовалюты, который выполняет команду: 
wininiv.exe -o xmr.crypto-pool.fr:80 -u 48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv -p x -k -B --donate-level=1 -t 2

 Возможно, что учебный проект от mauri870 был использован другими людьми, которые прикрутили к нему майнер. Или он сам доработал его таким образом. О пострадавших пока неизвестно. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wininiv.exe
xmrig.rar
<random>.exe - случайное название
ransomware.exe
server.exe
READ_TO_DECRYPT.txt 

Расположения:
\Desktop\ ->
\User_folders\ ->
%WINDIR%\Temp\wininiv.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://xmr.crypto-pool.fr/
xxxx://ldqu4hxg2gx6af7j.onion/id/
xxxx://ldqu4hxg2gx6af7j.onion.plus
xxxx://ldqu4hxg2gx6af7j.onion.link
xxxx://ldqu4hxg2gx6af7j.tor2web.ch
BTC: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
xxxx://tejsqel5npztqnee.onion.link/fa1304fdec7f909d27de6ea97ce79da7/index.php
xxxx://ldqu4hxg2gx6af7j.onion.link/
xxxx://dstormer6em3i4km.onion.link/
xxxx://eowxgliaujppfl7m.onion.link/hj2gr/public/tsfUlOc.bin
xxxx://xiwayy2kn32bo3ko.onion.link/test/read.cgi/ura/1380576973/l50
XMR-кошелёк: 
48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton