Если вы не видите здесь изображений, то используйте VPN.

понедельник, 5 марта 2018 г.

Ladon

Ladon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует на onion-сайте ввести Contact ID, заплатить выкуп в 200-300$ в BTC, чтобы вернуть файлы. Оригинальное название: Ladon Ransomware.

© Генеалогия: ??? > Ladon

К зашифрованным файлам добавляется расширение .ladon

Образец этого крипто-вымогателя был найден в марте 2018 г. Прежде был обнаружен сайт в сети Tor. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным сервиса Hybrid-Analysis распространяется из США. 

Записки с требованием выкупа называются: 
READ_ME.txt
READ_ME.html

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 

Содержание записки о выкупе:
***нет данных***
Перевод записки на русский язык:
***нет данных***

Другим информатором жертвы выступает сайт вымогателей. 

Содержание веб-страниц на onion-сайте вымогателей:
  

Содержание текста со страницы readmore.php
What happened to my files?
Your files are encrypted with strong, military-grade encryption. In order to recover them you must pay a fee. This fee is not very large and can range from 200-300$. Failure to pay the fee will result in the loss of your files. There is no deadline for when you can pay.
How can I trust you?
Your files will be recovered immediately after our service detects that you have paid. In order to allow this, please allow our program to continue running so that it can retrieve your files. We can help and provide assistance in chat to those who need it. (NOTE: We do not respond to requests to lower the fee.)
How can I pay?
We only accept a form of digital currency known as Bitcoin. There are many guides on how to buy this online, which you can find from googling. If you want to buy bitcoin using paypal, giftcard, and other forms of payment, then http://www.paxful.com is a great and easy way.
Where is my CONTACTID?
Your CONTACTID should be written on your background or located in the file: READ_ME.txt which can be found on your desktop. Please retrieve it as this is necesary for payment in order to retrieve your files. This may require checking to see if your antivirus has deleted this file. If it has please recover it. Without this file, there is no hope to retriving your files. It is a good idea to store your contactid in a safe spot until your files are retrieved.
I have paid, how long will it take?
Once you pay, it depends on how long it takes for the transaction to verify. This can be 1 minute - 1 day.
How do I remove this program once I have retrieved my files?
The program will remove itself from your computer. You are welcome to try an antivirus or any other program to confirm our claim.
Is there any program or any other way to recover my files?
There is no possible way to recover your files without paying us. Any attempt to use any decryptors/tools may permanently damage your files!

Перевод текста на русский язык:
Что случилось с моими файлами?
Ваши файлы зашифрованы сильным, военным шифрованием. Чтобы восстановить их, вы должны заплатить сбор. Этот сбор не очень большой и может быть 200-300 долларов. Невыплата приведет к потере ваших файлов. У вас нет срока, когда вы можете заплатить.
Как я могу доверять тебе?
Ваши файлы будут восстановлены сразу же после того, как наш сервис обнаружит, что вы заплатили. Чтобы это разрешить, позвольте нашей программе продолжать работу, чтобы она могла вернуть ваши файлы. Мы можем помочь и оказать помощь в чате тем, кто в ней нуждается. (ПРИМЕЧАНИЕ. Мы не отвечаем на запросы о снижении платы.)
Как я могу заплатить?
Мы принимаем плату только в крипто-валюте, известной как биткоин. Есть много руководств о том, как купить его онлайн, которые вы можете найти в Интернете. Если вы хотите купить биткоин, используя PayPal, GiftCard и другие способы оплаты, то http://www.paxful.com - отличный и простой способ.
Где мой CONTACT ID?
Ваш CONTACT ID должен быть написан на вашем фоне или находится в файле: READ_ME.txt, который можно найти на вашем рабочем столе. Пожалуйста, извлеките его, поскольку это надо для оплаты, чтобы получить ваши файлы. Может потребуется проверить не удалил ли ваш антивирус этот файл. Если это так, пожалуйста, восстановите его. Без этого файла нет надежды на восстановление ваших файлов. Рекомендуется хранить ваш CONTACT ID в безопасном месте, пока ваши файлы не будут восстановлены.
Я заплатил, сколько времени это займет?
Когда вы заплатите это зависит от того, сколько времени уйдет на проверку транзакции. Это может быть 1 минута - 1 день.
Как удалить эту программу после получения моих файлов?
Программа удалит себя с вашего компьютера. Вы можете проверить антивирусом или любой другой программой, чтобы подтвердить наше утверждение.
Есть ли какая-то программа или какой-то иной способ восстановить мои файлы?
Невозможно восстановить файлы, не заплатив нам. Любая попытка использования любых декриптеров/инструментов может навсегда повредить ваши файлы!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Удаляет теневые копии файлов с помощью команды:
wmic.exe shadowcopy delete /nointeractive

Используется некая дурацкая надпись или картинка с этой надписью, которую иностранцы поспешили назвать русской: 
Cyka Blykat!

Как-то странно это вяжется с русским языком, если учесть, что доказан факт происхождения этого вымогателя из США. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ladon.exe
<random>.exe - случайное название
READ_ME.txt
image.png

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://api.ipify.org/ - сервис определения IP-адреса
Tor-сайты вымогателей: 
xxxx://cdmsxo25y4lfht6v.onion/***
xxxx://cdmsxo25y4lfht6v.onion.casa/***
xxxx://ns2yrncquekngvfe.onion.casa/login.php***
xxxx://vvrhhhnaijyj6s2m.onion.casa/ 
xxxx://ldqu4hxg2gx6af7j.onion.casa/t1245b.rar***
xxxx://gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
xxxx://gdcbghvjyqy7jclk.onion.casa/35af3b2dc37ba69e
xxxx://gdcbghvjyqy7jclk.onion.casa/b291d914ea16de90
xxxx://gdcbghvjyqy7jclk.onion.casa/23b0d1644a6ba2c
xxxxs://vvrhhhnaijyj6s2m.onion.casa/storage/cryptOutput/0.29182500
xxxxs://vvrhhhnaijyj6s2m.onion.casa/storage/cryptoutput/0.92915600%201512026521.jar 
xxxx://pidkdvfu7kfz7nbn.onion.direct/
xxxx://www.pidkdvfu7kfz7nbn.onion.direct/
xxxx://qbstdn6k7iivyki2.onion.direct/
xxxx://qbstdn6k7iivyki2.onion.direct/lending/bot.php
BTC: 13B4NWgvkK518z2GjoXPktVRVdhWhEB5fW
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA>>
VirusTotal анализ >>
 VirusBay образец >>
🐞 Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Ladon)
 Write-up, Topic of Support
 * 
 Thanks: 
 CryptoInsane, Michael Gillespie
 MalwareHunterTeam
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *