Если вы не видите здесь изображений, то используйте VPN.

пятница, 30 октября 2015 г.

PowerShell Locker

PowerShell 2015 Ransomware 

PowerShell Locker 2015 Ransomware

PowerWorm Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует посетить Tor-сайт, чтобы ознакомиться с условиями выкупа, оплатить от 2 до 4 BTC, получить ключ и дешифровщик, а затем с их помощью вернуть файлы. Название получил от того, что используются возможности Microsoft PowerShell

К сожалению, для всех пострадавших от действий этого криптовымогателя, нет возможности восстановить зашифрованные файлы, т.к. в процессе программирования вымогателями были допущены ошибки, которые привели к тому, что данные безвозвратно испорчены. Уплата выкупа бесполезна! 

© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE


Легитимный компонент в руках преступников — оружие!

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2015 - январь 2016 г. Ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру.

Записки с требованием выкупа и инструкциями называются:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt


Содержание записки README.txt:

Extract the .ps1 file and run with Powershell. 
Depending on the size of your system it may take either minutes to hours to complete decryption. 
You can use files again when DECRYPT_INSTRUCTION.html has been removed from folder.

Перевод записки на русский язык:
Извлеките файл .ps1 и работайте с Powershell.
В зависимости от размера вашей системы может уйти от минут до часов на полную расшифровку.
Вы можете использовать файлы, если DECRYPT_INSTRUCTION.html удален из папки.



Содержание записок с инструкциями "DECRYPT_INSTRUCTION"

What happened to your files? 
All of your files were protected by a strong encryption with RSA-2048. 
 More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean? 
 This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. 
How did this happen? 
 Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. 
 All your files were encrypted with the public key, which has been transferred to your computer via the Internet. 
 Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.  
What do I do? 
 Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. 
 If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.  
For more specific instructions, please visit this home page: 
1.http://vswefkqsipoeuq5o.onion.nu 
 Please scroll below for your #UUID 
If for some reasons the address is not available, follow these steps: 
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: vswefkqsipoeuq5o.onion
 4. Follow the instructions on the site. 
IMPORTANT INFORMATION:
Your Home PAGE: http://vswefkqsipoeuq5o.onion.nu
Your Home PAGE(using TOR): vswefkqsipoeuq5o.onion
Please scroll below for your #UUID
Your #UUID is EFTK8odtw47RMslfhDWV2iL6c
Guaranteed recovery is provided before scheduled deletion of private key on the day of 01/01/2016 11:09:27 
The price to obtain the decrypter goes from 500 $ to 1000 $ on the day of 12/12/2015 11:09:27 

Кроме нижней части и веб-адресов на Tor-сайты, сама "инструкция" была заимствована вымогателями у криптовымогателя CryptoWall. 

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены 
надежным  шифрованием RSA-2048. 
Подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: 
http://en.wikipedia.org/wiki/RSA_(cryptosystem) 
Что это значит?
Это означает, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете их восстановить. 
Как это произошло?
Специально для Вас, на нашем сервере был создан секретный ключ пары RSA-2048 - открытый и секретный. 
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на компьютер через Интернет. 
Дешифровать файлы можно лишь с помощью секретного ключа и декриптера, находящихся на нашем секретном сервере. 
Что мне делать?
Увы, если вы не примите нужные меры за определенное время, то будут изменены условия для получения секретного ключа. 
Если вы точно цените ваши данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет. 
Для подробных инструкций, пожалуйста, посетите страницу:
1.http://vswefkqsipoeuq5o.onion.nu 
Пожалуйста, прокрутите ниже для вашего #UUID
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите Tor-браузер: 
http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации. 
3. Введите в адресной строке: vswefkqsipoeuq5o.onion
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша веб-страница: 
http://vswefkqsipoeuq5o.onion.nu
Ваша веб-страница (с помощью TOR): vswefkqsipoeuq5o.onion 
Пожалуйста, прокрутите ниже для вашего #UUID
Ваш #UUID это EFTK8odtw47RMslfhDWV2iL6c
Гарантированное восстановление до запланированного удаления секретного ключа до дня 01/01/2016 11:09:27
Цена за декриптер будет от 500 $ до 1000 $ в день 12/12/2015 11:09:27


Скриншот сайта оплаты

Содержание текста со страницы сайта оплаты:
Instructions to unlock your files / data:
1. Download and install the Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins. (check DECRYPT_INSTRUCTION.HTML for correct amount based on date) and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed earlier. From there, hit the "Send" tab Send the remaining BTC (bitcoin) to our Bitcoin-wallet address:
1Pw1Jin***
Now submit the form below, only if you've actually sent the Bitcoins Upon manual verification of the transaction you will receive the decrypter through email within 12 hours ALL of your files/data will then be unlocked and decrypted automatically.
Do NOT move files around or try to temper them in any way. because the decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again! If payment is not received within ten days (check DECRYPT_JNSTRUCTION HTML for date) the price for the decrypter is doubled Scheduled deletion of the key is after 30 days, we will not be able to recover files after this.
Your
BTC-address:
Your ID:
Your Email:
Submit

Перевод текста со страницы сайта оплаты:
Инструкции по разблокировке ваших файлы / данных:
1. Загрузите и установите приложение Multibit. Это даст вам свой адрес Bitcoin-кошелька. Вы можете найти его на вкладке "Request". Вставить это в поле "Your BTC-address" ниже.
2. Купите биткоины. (Проверьте в DECRYPT_INSTRUCTION.HTML корректность суммы по дате) и отправьте их на свой адрес Bitcoin-кошелька, они отобразятся в приложении Multibit, что вы установили ранее. Оттуда нажмите "Send" для отправки оставшихся BTC (Bitcoin) на адрес нашего Bitcoin-кошелька:
1Pw1Jin***
Теперь заполните форму ниже, только если вы уже послали биткоины после ручной проверки, из
сделки вы получите декриптер по email в течение 12 часов, все ваши файлы / данные будут
разблокированы и расшифрованы автоматически.
НЕ перемещайте файлы или пытайтесь их поправить каким-либо образом, потому что декриптер больше не будет работать
Пожалуйста, помните, что это единственный способ, чтобы снова получить доступ к вашим файлам! Если платеж не получен в течение десяти дней (проверьте DECRYPT_JNSTRUCTION HTML по дате) цена на декриптер удваивается, по расписанию удаление ключа через 30 дней, мы не сможем восстановить файлы после этого.
Ваш BTC-адрес:
Ваш ID:
Ваш Email:
Отправить

---


Другой вариант записки содержит другие адреса. 

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1. lgemfolpt5ntjaot.onion.nu 
Your ID# is qDgx5Bs8H
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: lgemfolpt5ntjaot.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: lgemfolpt5ntjaot.onion.nu 
Your Home PAGE(using TOR): lgemfolpt5ntjaot.onion
Your ID# (if you open the site (or TOR's) directly): qDgx5Bs8H
---
Guaranteed recovery is provided before scheduled deletion of private key on the day of 11/28/2015 12:56:49
The price to obtain the decrypter goes from 2BTC to 4BTC on the day of 11/08/2015 12:56:49
---

Записки о выкупе является копиями той, что использовалсь в Cryptowall Ransomware, но вымогатель добавил свои собственные предупреждения внизу, сообщая, что цена выкупа возрастет, если выкуп не заплатят быстро. Также имеется идентификатор, который должен быть уникальным для каждой жертвы. На самом деле этот идентификатор у всех одинаковый.

Другим информаторами жертвы являются сайты, указанные в записке. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Разработан в PowerShell и представляет собой небольшой 54-строчный скрипт. При запуске он сначала удаляет теневые копии файлов, чтобы  исключить возможность восстановления файлов. 

➤ Файлы шифруются с помощью AES, хотя в записке указан RSA-2048, а затем из-за ошибки в программировании ключ шифрования не сохраняется. Разработчик-вымогатель не написал всего лишь один пропавший символ "=". По этой причине зашифрованные файлы становятся невосстановимыми, даже если заплатить выкуп. Уплата выкупа безполезна! 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (450 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы бухгалтерских, налогоплатежных и прикладных программ, файл Alcohol, файлы AutoCAD и других подобных программ, архивы и пр. 

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: vswefkqsipoeuq5o.onion.nu
Tor-URL: vswefkqsipoeuq5o.onion
URL: lgemfolpt5ntjaot.onion.nu 
Tor-URL: lgemfolpt5ntjaot.onion
Email: - 
BTC: 1Pw1JinSMhf93MRqfYW3KeywX8oFjs6fLe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up on BC
 ID Ransomware (ID PowerShell Locker)
 Topic on BC
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 19 октября 2015 г.

BitLocker

BitLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.22 до 1-2 BTC или больше, чтобы вернуть файлы. Оригинальное название: BitLocker, bitlocker. 

👉 Вымогатели показательно использовали BitLocker, включенный в ОС Windows Professional и Enterprise, чтобы шифровать файлы. BitLocker оказался уявимым легитимным ПО шифрования данных. Из-за этого злоумышленники смогли использовать его для шифрования файлов на ПК пострадавших и вымогательства у них денег. 

Позже некоторые пострадавшие купили пароль у вымогателей и несколько раз подтвердили, что использовался пароль: =-0987654321!@#$%^&*()_++_)(*&^%$#@!
После 16 июля 2016 года этот пароль был изменен. 
--- 

© Генеалогия: Microsoft 
BitLocker >> BitLocker Ransomware

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не 
добавляется.

Активность этого крипто-вымогателя началась в 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Согласно данным от пострадавших, злоумышленники не прекращали свою вымогательскую деятельность на протяжении нескольких лет. 
Последний пострадавший сообщил о продолжающемся вымогательстве в декабре 2020 года. То, что выплаты до сих пор активны, подтверждается новым BTC-адресом, на который поступают биткоины. Кошельки регулярно меняются. 

Записка с требованием выкупа называется: PLEASE READ.txt


Содержание записки о выкупе:

Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM as fast as you can and email me at sociopatii@yahoo.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( sociopatii@yahoo.com ) if you wanna get the bitlocker password. Thanks for your time!


Перевод записки на русский язык:
Привет всем.
Я хотел бы сказать вам, первое, сожалею об этом. Ваши документы, файлы, базы данных на месте или некоторые ваши локальные данные перемещены. Если хотите вернуть доступ к вашему локальному диску, всем вашим файлам, документам и т.д., пошлите 1 BTC (биткойн) на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM как можно быстрее и напишите мне на email sociopatii@yahoo.com Если вы не знаете, что есть биткойн, спросите меня о веб-сайте биткойн, где вы можете купить его быстро, или ищите в Google местный биткойн-магазин или банкомат и пошлите 1 BTC на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Я не виноват, если вы отформатируете диск и все потеряете. Есть только один путь вернуть все и восстановить доступ к вашему локальному жесткому диску, и этот путь прислать 1 биткойн на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Это просто бизнес, не попытка получить ваши деньги, а затем не дать вам bitlocker пароль. Жду вашего ответа на мой email адрес sociopatii@yahoo.com, если вы хотите получить bitlocker пароль. Спасибо за ваше время!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Шифруются локальные и внешние диски, и все пользовательские файлы на них. 
Среди них наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
PLEASE READ.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Пароль для расшифровки файлов: 
=-0987654321!@#$%^&*()_++_)(*&^%$#@!

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sociopatii@yahoo.com
Первая выплата на этот кошелек: 15 февраля 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


См. ниже в обновлениях другие адреса и контакты.

См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2015:
Email: sociopatii@yahoo.com
За неимением более раннего варианта записки, эти данные также указаны в основной статье. На этот BTC-кошелек платежи поступали уже с 15 февраля 2015 года. 


Обновление от 20-27 октября 2015:
Email: cage1@gmx.us


➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 as fast as you can and email me at cage1@gmx.us If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( cage1@gmx.us ) if you wanna get the bitlocker password. Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 20 октября 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


=== 2016 ===


Обновление от 1 мая 2016:
Записка: PLEASE READ.txt
Email: datebatut@gmail.com, datebatut@pochta.com

➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 2 BTC (Bitcoin) to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS as fast as you can and email me at datebatut@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 2 BTC to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 2 Bitcoin to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( datebatut@gmail.com or datebatut@pochta.com if the gmail not work ) if you wanna get the bitlocker password. 
Please do not hesitate to contact me should you have any questions or concerns.
Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 января 2016 года.
Последняя выплата: 13 июля 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2017 ===

Обновление от 20 февраля 2017: 
Помещает файлы в виртуальный жёсткий диск (VHD), затем требует выкуп в 0.5 BTC.
Email: davidblainemagique@gmail.com, davidblaine@mail2world.com
Записка: PLEASE READ.txt

➤ Содержание записки:
Hello there.  You can also use https://translate.google.com/
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local data please send 0.5 BTC (Bitcoin) to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch as fast as you can and email me at davidblainemagique@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 0.5 BTC to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker passoword. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 0.5 Bitcoin to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals 
Disk so this is the only chance to get all back. Waiting for your reply to my email address ( davidblainemagique@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) if you wanna get the bitlocker password.
If you have any questions please feel free to contact me at anytime.
Thanks for your time!
PS: Your files are here on VIRTUAL HARD DISK the location is here
C:\drivers\s.vhd
See here how to open your drive
https://www.youtube.com/watch?v=m3Pxn23dFuQ
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 ноября 2016 года.
Последняя выплата: 26 марта 2017 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2018 ===
=== 2019 ===


=== 2020 ===

Обновление от 23 декабря 2020:
Email: bitlockerlock.unlock@gmail.com, davidblaine@mail2world.com
Новый BTC-кошелек: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8


➤ Содержание записки:
Hello there.  
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your encrypted local data. If you want to regain access to your local data please send 500 AUD in  BTC (Bitcoin) to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8 fast as you can and email me at bitlockerlock.unlock@gmail.com to get your bitlocker password to unlock all data. You can buy bitcoin(legal cryptocurrence in your country, so no any illegal stuff) using bank wire, credit\debit card, paypal, almost all payments method worldwide. Very easy and secure to buy bitcoin from your location. You have to pay for decryption in Bitcoins. After payment we will send you the bitlocker key that will decrypt all your files. If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 500 AUD in  BTC to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker password. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 500 AUD in  BTC Bitcoin to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
After payment, we will send you the Bitlocker password that will decrypt all your files instantly. It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals Disk so this is the only chance to get all back. Waiting for your reply to my email address ( bitlockerlock.unlock@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) for bitlocker password. 
If you have any questions please feel free to contact me at anytime. 
GET 20% OFF IF YOUR PAYMENT IS DONE IN 24 HOURS. 
bitlockerlock.unlock@gmail.com
Thanks for your time!
---
Примечательно, что в записке сумма выкупа указана в австралийских долларах (AUD). 
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 30 ноября 2020 года.
Последняя выплата: 23 декабря 2020 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 
---
Еще адреса:
unlock.locked.bitlocker@gmail.com
bitlockerlock.unlock@gmail.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author), quietman7
 to the victims who reported on the forum
 ***
 ***
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 сентября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель, публикатор) 

Translation into English


   Этот крипто-вымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы. Chimera не только шифрует файлы, но и публикует их в Интернете, если выкуп не выплачивается.

Обнаружения:
DrWeb -> Trojan.Encoder.1980
Avast -> MSIL:Crypchim-A [Trj]
BitDefender -> Gen:Variant.Ransom.Chimera.6
ESET-NOD32 -> A Variant Of MSIL/Injector.LXY
Kaspersky -> Trojan-Ransom.Win32.Chimera.a
Microsoft -> TrojanDropper:Win32/Chicrypt.A
Rising -> Ransom.Chimera!8.32AF (CLOUD)
TrendMicro -> Ransom_CRYPCHIM.B

Зашифрованные файлы получали расширение .crypt
Позже расширение стало в формате .<4_random_chars>
Примеры: .MnDf, .PzZs, .RThY.

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

 Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 


Технические детали


 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Анализ на VirusTotal >>>
Анализ на HybridAnalysis >>>


Степень распространенности: была высокая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .<4_random_chars> — случайный четырехбуквенный разнорегистровый код, например, .MnDf, .PzZs, .RThY.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


пятница, 11 сентября 2015 г.

BabushkaYaga

BabushkaYaga  Ransomware 

BabushkaLocker Ransomware 

(шифровальщик-вымогатель)

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 5000 +/- рублей за дешифратор, чтобы вернуть файлы. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block


Изображение не принадлежит шифровальщику

Шифровальщики "Баба-Яга" и "Бабушка Яга" известны с 2013 года, периодически видоизменялись или перепродавались другим вымогателям. Новая версия появилась в 2015 году, активность продолжалась с ноября 2015 по март 2016. Ориентирован на русскоязычных пользователей, что не мешает распространять его где угодно. Написан на MSIL. 

2015
Записки с требованием выкупа 2015 года называются code.txt и разбрасываются во все папки с зашифрованными файлами, в том числе и на Рабочий стол. 

Содержание записки о выкупе:
Баба Яга зашыфровала все вашы файлы. Пишите на почту yagababushka@yahoo.com для получения инструкций. Не забудьте указать кодовое слово - Guyana
Внимание! Попытки самостоятельно расшифровать файлы приведут лишь к их безвозвратной порче.

Ошибки в тексте: буква "ы" я выделил красным. 

2016 Записки с требованием выкупа 2016 года называются readme!.txt и (или readMe!.txt) разбрасываются во все папки с зашифрованными файлами, в том числе и на рабочий стол. Записку дублирует изображение, встающее обоями Рабочего стола.

Содержание записки о выкупе:
Внимание! Ваши файлы зашифрованы. 
Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. 
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. 
ОБЯЗАТЕЛЬНО укажите ваш ID - 22301012rdj1 

Варианты ID: 
242015123vgb
9201619nsj2
18201617uuj1
272015124et2

Распространяется с помощью email-спама и вредоносных вложений (название документа MS Office на русском с расширениями .exe, .scr, .bat), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

При шифровании выбирается один из 10 публичных RSA-ключей, зашитых в программе. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe Delete Shadows /All /QuietDEL s.bat

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
readme!.txt или readMe!.txt
yaga.exe
s.bat
<random_name>.exe
<random_name>.scr
<random_name>.bat
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
fv13.failiem.lv (87.110.219.224:443 Латвия)
files.fm (104.25.80.116 США)
Email: yaga.babushka@yahoo.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

вторник, 18 августа 2015 г.

CryptoApp

CryptoApp Ransomware

(шифровальщик-вымогатель)

Translation into English



   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1 или 2 биткоина, чтобы вернуть файлы обратно. Название происходит от папки "CryptoApp" с файлами, создаваемыми самим вымогателем на рабочем столе жертвы и ключей реестра CryptoApp, создаваемых вымогателем в реестре Windows. К зашифрованным файлам добавляется расширение .encrypted

 Активность этого криптовымогателя пришлась на май-июнь и июль-август 2015 г., пока в августе того же года сайт вымогателя в сети Tor не был удален. Ориентирован на англоязычных пользователей.

Требованием выкупа расписаны в трех окнах:



Требования о выкупе


Скринлок, встающий обоями
HTML-записка о выкупе со ссылками на Tor-сайт

Содержание сообщений о выкупе:
В одном из сообщений с требованием выкупа, авторы шифровальщика поясняют, что:
- ПК не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка форматировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. его работа приведет к полной потере файлов.

Распространяется с помощью email-спама и вредоносных вложений.

Инфицировав целевое устройство, крипто-вымогатель ищет и шифрует пользовательские файлы на локальных и сетевых дисках, буквально перебирает все буквы алфавита: A: B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:

Для процесса шифрования вымогатель использует функцию Microsoft CryptoAPI. Для того, чтобы отслеживать файлы, которые он зашифровал, вымогатель хранит эту информацию в базе данных SQLite на диске.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .asp, .aspx, .avi, .bad, .bay, .bmp, .c, .cam, .cdr, .cer, .cineon, .cpp, .cr2, .crt, .crw, .css, .csv, .ctl, .dat, .db, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx, .dotm, .dotx, .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img, .indd, .jpe, .jpeg, .jpg, .js, .kdc, .log, .lst, .m4v, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem, .perl, .pfx, .pgm, .php, .pic, .pkb, .pks, .pl, .plb, .pls, .png, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prn, .psb, .psd, .pst, .ptx, .qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .r3d, .raf, .rar, .raw, .rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sldm, .sldx, .sql, .srf, .srw, .sti, .swf, .sxi, .thmx, .tiff, .tlg, .tlg, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xml, .yaml, .zip (162 расширения). 

Из них ряд расширений относится к бухгалтерской программе QuickBooks (.qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .tlg). 

Примечательно, что декриптер от вымогателей при дешифровке меняет расширения зашифрованных файлов с .encrypted на .encrypted.decrypted

Файлы, связанные с Ransomware:
C:\Users\User_name\Desktop\csrss.exe - основной файл шифровальщика;
C:\Users\User_name\AppData\Local\Temp\keepalive.exe - файл прикрытия;
C:\Users\User_name\AppData\Local\Temp\wlp.jpg - файл обоев (красный).

Файлы из проекта вымогателя: 
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\CryptoApp.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\KeepAlive.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\SelfDestroy.pdb


Записи реестра, связанные с Ransomware:


Сетевые подключения:
guhvuoz7am24b5mv.onion
cryptorepairsystems.com (80.242.123.197)

Степень распространённости: низкая.
Подробные сведения собираются.

Ссылка на подробный исследовательский отчет >>
Ссылка на дополнение к этому отчету >>

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *