Если вы не видите здесь изображений, то используйте VPN.

понедельник, 16 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из России, Беларуси, Казахстана, Украины >>>

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt


Содержание одной из текстовых записок:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C99694747CD5001F657F|346|2|2
на электронный адрес files000001@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
C99694747CD5001F657F|346|2|2
to e-mail address files000001@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.


Технические детали

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. Среди целевых стран: Россия, страны СНГ, США, Япония, Индия, Таиланд, Канада...

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

➤ Тайный функционал регулярно меняется. Может отслеживать передвижение информации в скомпрометированной сети, собирать бухгалтерскую информацию, устанавливать модули для удаленного управления, обновляется инструментами для прочей компрометации компьютеров сети. 

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

➤ После шифрования удаляются все теневые копии файлов на всех дисках.

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
csrss.exe
<random_name>.exe
<random_name>.bmp
\lock
\state
README.txt, README1.txt ... README10.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов в обновлениях. 

Сетевые подключения и связи:
См. ниже гибридный анализ в обновлениях. 

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.






=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Troldesh-1 Ransomware 
Расширения: .xbtl и .cbtl
decode00001@gmail.com
decode00002@gmail.com ...
decode77777@gmail.com ...
decode99999@gmail.com
files000001@gmail.com ...
files640@gmail.com ...
files08880@gmailcom
files08881@gmailcom ...

Troldesh-2 Ransomware 
Расширения: .breaking_bad и .heisenberg
Email: files000001@gmail.com
Время распространения:  сентябрь - декабрь 2015, январь 2016 - далее

Troldesh-Ransomware
Расширение: .better_call_saul
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Время распространения: январь - март 2016 - далее

Troldesh-4 Ransomware 
Расширение: .windows10
Email: Ryabinina.Lina@gmail.com
Время распространения: июнь 2016 - далее

Troldesh-Next Ransomware
Расширение: .no_more_ransom
Email: VladimirScherbinin1991@gmail.com
-
Расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
-
Расширение: .dexter
Email: Ryabinina.Lina@gmail.com
-
Расширение: .crypted000007
Novikov.Vavila@gmail.com
-
Расширения: .crypted000007 и .crypted000078
selenadymond@gmail.com
-
Расширение .crypted000007
gervasiy.menyaev@gmail.com




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:

Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016

Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware


Обновление от апреля - мая 2016:
Топик на форуме (пример) >>
Расширение: .da_vinci_code
Записки: README.txt, README1.txt - README10.txt

Email: RobertaMacDonald1994@gmail.com 
robertamacdonald1994@gmail.com
URL: xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
➤ Содержание записки:
Вaши фaйлы былu зaшифрованы.
Чтобы pасшифрoвamь их, Baм необходимo оmправить kод:
48533B68E604D82B6DC7|0
нa элeктронный адpес robertamacdonald1994@gmail.com .
Далee вы пoлучuтe всe нeобхoдимые uнсmруkциu.
Попыmки paсшифровaть cамоcmояmeльно нe пpивeдуm нu k чeму, кроме безвoзврamной nоmeрu инфoрмациu.
Ecлu вы всё же хотuте пonытamьcя, mо npедварuтельно cделайme pезеpвные kоnuи файлoв, uнaче в случae
uх uзменeнuя раcшuфpовка cтанem нeвозможнoй ни npu кakuх yсловияx.
Еcли вы не пoлyчилu ответa по вышеykaзанному aдрeсy в meчениe 48 часoв (и mольkо в эmом слyчаe!),
восnoльзyйтecь формой oбратнoй связи. Это можно сделaть двyмя cпоcoбaмu:
1) Сkaчайтe u усmaнoвитe Tor Browser по сcылке: https://www.torproject.org/download/download-easy.html.en
В aдpeснoй cmроkе Tor Browser-а ввeдите aдpec:
http://cryptsen7fo43rr6.onion/
u нажмиme Enter. Загpyзumcя cтpанuца с формой обpamной связu.
2) В любoм бpаузepе пepейдиme по oдному из адpeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
48533B68E604D82B6DC7|0
to e-mail address robertamacdonald1994@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/
---
В другом варианте записки email вымогателей написан следующим образом: RobertaMacDonald1994@gmail.com


Обновление от 25 мая 2016:
Записка: README.txt и с цифрами
Email: VladimirScherbinin1991@gmail.com
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
<< Скриншот записки





Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.


Обновление от 24 ноября 2016:

Новое расширение: .no_more_ransom
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT








=== 2017 ===

Обновление от 14 апреля 2017:
Пост в Твиттере >>
Расширение: .dexter
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 


Обновление от 26 апреля 2017:
Расширение:  .crypted000007
Записки: README.txt, README1.txt ... README9.txt
Email: pilotpilot088@gmail.com
URL: xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
Топик на форуме >>





Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Расширение: .crypted000007
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
Email: Novikov.Vavila@gmail.com
VladimirScherbinin1991@gmail.com
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG
<< Пример зашифрованных файлов


<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE и другие
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT
Видео-обзор от GrujaRS CyberSecurity >>


Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js

Обновление от 27 мая 2017:
Расширение: .crypted000007
Записки: README.txt, README1.txt ... README9.txt
Email: pilotpilot088@gmail.com
URL: xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
Топик на форуме >>




Обновление от 23 ноября 2017:
Вредоносная кампания продолжается!!!
Пост в Твиттере >> Спасибо GrujaRS! 
Примеры вложений: invoice_3098_2017_11.exe
Расширение .crypted000007
Email: gervasiy.menyaev@gmail.com
Записки: README1.txt - README10.txt
Скриншот записки >>
Текст на русском:
Вашu файлы былu зашuфрoваны.
Чтобы рaсшuфровamь их, Bам неoбxодимo omпpавиmь kод:
70ECF9E62CDD1085XXX|0
на элeктрoнный aдрeс gervasiy.menyaev@gmail.com .
Далee вы nолучuтe всe нeобxoдимые uнcmpукциu.
Попытkи pacшифpoваmь cамocтoятeльнo не nривeдym нu к чемy, kроме бeзвозвpamной потеpu инфоpмацuu.
Eсли вы всё жe хoтите попыmaться, mo npедвapuтельнo сдeлaйте рeзepвныe kоnuи фaйлoв, инaче в cлyчae
их uзмененuя pасшифровкa cтанeт невoзмoжнoй нu прu каких уcлoвияx.
Eсли вы нe nолучuлu oтвеmа пo вышеуказaннoмy aдpеcу в тeчeние 48 чacов (и тoльko в эmoм слyчаe!),
вocпользуйmеcь фopмой обpаmнoй cвязu. Это можно сдeлamь двyмя cnocoбaми:
1) Ckaчайme u уcтанoвumе Tor Browser no сcылkе: https://www.torproject.org/download/download-easy.html.en
В адpecной cmpoke Tor Browser-а ввeдume aдpeс:
http://cryptsenXXXXXXX.onion/
и нaжмитe Enter. 3aгpузuтся cmранuца c формой oбpатнoй связu.
2) В любом браyзeрe пеpейдumе no однoму из aдрeсoв:
http://cryptsenXXXXXXX.onion.to/
http://cryptsenXXXXXXX.onion.cab/

*| Обратите внимание, что русские буквы перемешаны с английскими, визуально похожими: u - вместо и, a вместо а, m вместо т, n вместо п, е вместо е, o вместо о, k вместо к...

Текст на английском: 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
70ECF9E62CDD108XXXX|0
to e-mail address gervasiy.menyaev@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
xxxxs://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
xxxx://cryptsenXXXXXXX.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
xxxx://cryptsenXXXXXXX.onion.to/
xxxx://cryptsenXXXXXXX.onion.cab/

Расположения:
  \AppData\Roaming\9F4BB42E9F4BB42E.bmp
  \Desktop\README1.txt - README10.txt
  \Temp\<random>.exe
---

=== 2018 ===

Вредоносная кампания продолжается!!!
Я не отслеживал все варианты, возможно, что они были и видоизменялись. 
Странно другое, что это вымогательство продолжается уже несколько лет, но ни Европол, ни Интерпол не могут (или не хотят?) отследить эту банду, чтобы передать данные на арест как самих вымогателей, так и их пособников в какую-нибудь местную полицию. При глобальном распространении этого вымогательства это более чем странно и неубедительно. 

Обновление от 29 ноября 2018:
Расширение: .crypted000007
Записки: README1.txt - README10.txt
Email: pilotpilot088@gmail.com
Расположение вредоносного файла: C:\ProgramData\Windows\csrss.exe
Фальш-имя: WUDFHost.exe
Фальш-копирайт: Microsoft
URLs: http://cryptsen7fo43rr6.onion/
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
Результаты анализов: VTAR
➤ Содержание записки о выкупе:
Baши фaйлы былu зaшифpовaны.
Чmобы paсшuфpoвaть их, Вaм необxoдuмо omпpавumь kод:
906D0F2E2F604F839E04|0
на элekmрoнный aдреc pilotpilot088@gmail.com .
Дaлee вы получume вce нeобxодимыe uнcmрукции.
Поnытku paсшифpoвать cамoстоятeльно не nрuвeдут ни k чемy, кpоме бeзвозвратной noтерu инфoрмациu.
Eслu вы всё жe xomитe nоnыmатьcя, mo npедваpитeльнo cделайmе рeзервныe konиu файлов, uнaчe в cлyчаe
иx изменения раcшифpовкa стaнеm невозмoжнoй нu nрu какux услoвияx.
Eслu вы не пoлучили omвеma пo вышeукaзaннoму aдрeсу в mеченue 48 часов (и mолько в этом слyчae!),
вoсnoльзyйтеcь фopмoй oбрaтной связu. Этo мoжнo сдeлаmь двyмя споcoбaми:
1) Ckaчaйтe u ycmановuтe Tor Browser по ссылke: https://www.torproject.org/download/download-easy.html.en
В адpеснoй cтроke Tor Browser-a ввeдumе aдреc:
http://cryptsen7fo43rr6.onion/
и нaжмиmе Enter. 3aгpузиmcя сmpaница с фoрмой обрaтнoй связu.
2) В любoм браyзере neрейдumе no одному из адpecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
906D0F2E2F604F839E04|0
to e-mail address pilotpilot088@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


=== 2019 ===

Обновление от марта 2019:
Функционал Troldesh-Shade расширен криптоджекером, который генерирует криптовалюту при использовании браузера и других программ, скачанных пользователем ПК с сайтов злоумышленников и других жертв. Troldesh теперь распространяется не только от имени банков, но и от "топ-менеджеров" компаний из разных отраслей — ритейл, оптовая торговля, нефть, газ, строительство. 

Обновление от 2 июля 2019:
Файлы: 1c_1_.jpg, MSBuild.exe, csrss.exe
Результаты анализов: VT

Обновление от июля 2019: 
Group-IB обнаружила, что начиная с июня 2019 года число фишинговых писем, содержащих Troldesh / Shade Ransomware, возросло в 6 раз (в июне -1100, за весь второй квартал - более 6000). Отмечается, что это в 2,5 раза больше, чем за весь 2018-й год. 
Более того, вредоносная кампания по рассылке этого вируса-вымогателя продолжается. Письма, содержащие Troldesh / Shade Ransomware, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач — запароленный архивный файл, в котором якобы содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.
---
Вопреки стандартным рекомендациям, наличие обновленной ОС Windows 10 регулярных обновлений и встроенного функционала защиты от программ-шантажистов, не гарантирует защиты от Troldesh / Shade Ransomware
Тестовая группа "Альтернатива" регулярно проверяет защиту Windows на наличие заявленных обновлений безопасности и защиты. В большинстве случаев обновления безопасности защиты являются устаревшими мерами уже на этапе установки на ПК пользователей. То есть, они приходят запоздало, когда устройство уже пострадало, а файлы зашифрованы. 


Новость апреля 2020:
Вымогатели выпустили мастер-ключи для всех версий и публично извинились за причиненный вред и вымогательство. 
Читайте статью от ЛК: 
www.kaspersky.com/blog/shade-decryptor-2020/35246/


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для двух ранних версий есть дешифровщик!
Скачать декриптор для Troldesh (Shade) можно по ссылкам
Поддерживаются только расширения: 
.xtbl, .ytbl, .breaking_bad, .heisenberg
Версии: English / Russian
Внимание!
ЛК созданы дешифровщики для всех версий: https://noransom.kaspersky.com/
English
Russian
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Troldesh / Shade)
 Write-up, Topic of Support
 Shade: не шифрованием единым >>
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Michael Gillespie, MalwareHunterTeam, Karsten Hahn
 Andrew Ivanov, Alex Svirid
 CyberSecurity GrujaRS и другие
 *

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 30 октября 2015 г.

PowerShell Locker

PowerShell 2015 Ransomware 

PowerShell Locker 2015 Ransomware

PowerWorm Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует посетить Tor-сайт, чтобы ознакомиться с условиями выкупа, оплатить от 2 до 4 BTC, получить ключ и дешифровщик, а затем с их помощью вернуть файлы. Название получил от того, что используются возможности Microsoft PowerShell

К сожалению, для всех пострадавших от действий этого криптовымогателя, нет возможности восстановить зашифрованные файлы, т.к. в процессе программирования вымогателями были допущены ошибки, которые привели к тому, что данные безвозвратно испорчены. Уплата выкупа бесполезна! 

© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE


Легитимный компонент в руках преступников — оружие!

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2015 - январь 2016 г. Ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру.

Записки с требованием выкупа и инструкциями называются:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt


Содержание записки README.txt:

Extract the .ps1 file and run with Powershell. 
Depending on the size of your system it may take either minutes to hours to complete decryption. 
You can use files again when DECRYPT_INSTRUCTION.html has been removed from folder.

Перевод записки на русский язык:
Извлеките файл .ps1 и работайте с Powershell.
В зависимости от размера вашей системы может уйти от минут до часов на полную расшифровку.
Вы можете использовать файлы, если DECRYPT_INSTRUCTION.html удален из папки.



Содержание записок с инструкциями "DECRYPT_INSTRUCTION"

What happened to your files? 
All of your files were protected by a strong encryption with RSA-2048. 
 More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean? 
 This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. 
How did this happen? 
 Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. 
 All your files were encrypted with the public key, which has been transferred to your computer via the Internet. 
 Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.  
What do I do? 
 Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. 
 If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.  
For more specific instructions, please visit this home page: 
1.http://vswefkqsipoeuq5o.onion.nu 
 Please scroll below for your #UUID 
If for some reasons the address is not available, follow these steps: 
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: vswefkqsipoeuq5o.onion
 4. Follow the instructions on the site. 
IMPORTANT INFORMATION:
Your Home PAGE: http://vswefkqsipoeuq5o.onion.nu
Your Home PAGE(using TOR): vswefkqsipoeuq5o.onion
Please scroll below for your #UUID
Your #UUID is EFTK8odtw47RMslfhDWV2iL6c
Guaranteed recovery is provided before scheduled deletion of private key on the day of 01/01/2016 11:09:27 
The price to obtain the decrypter goes from 500 $ to 1000 $ on the day of 12/12/2015 11:09:27 

Кроме нижней части и веб-адресов на Tor-сайты, сама "инструкция" была заимствована вымогателями у криптовымогателя CryptoWall. 

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены 
надежным  шифрованием RSA-2048. 
Подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: 
http://en.wikipedia.org/wiki/RSA_(cryptosystem) 
Что это значит?
Это означает, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете их восстановить. 
Как это произошло?
Специально для Вас, на нашем сервере был создан секретный ключ пары RSA-2048 - открытый и секретный. 
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на компьютер через Интернет. 
Дешифровать файлы можно лишь с помощью секретного ключа и декриптера, находящихся на нашем секретном сервере. 
Что мне делать?
Увы, если вы не примите нужные меры за определенное время, то будут изменены условия для получения секретного ключа. 
Если вы точно цените ваши данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет. 
Для подробных инструкций, пожалуйста, посетите страницу:
1.http://vswefkqsipoeuq5o.onion.nu 
Пожалуйста, прокрутите ниже для вашего #UUID
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите Tor-браузер: 
http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации. 
3. Введите в адресной строке: vswefkqsipoeuq5o.onion
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша веб-страница: 
http://vswefkqsipoeuq5o.onion.nu
Ваша веб-страница (с помощью TOR): vswefkqsipoeuq5o.onion 
Пожалуйста, прокрутите ниже для вашего #UUID
Ваш #UUID это EFTK8odtw47RMslfhDWV2iL6c
Гарантированное восстановление до запланированного удаления секретного ключа до дня 01/01/2016 11:09:27
Цена за декриптер будет от 500 $ до 1000 $ в день 12/12/2015 11:09:27


Скриншот сайта оплаты

Содержание текста со страницы сайта оплаты:
Instructions to unlock your files / data:
1. Download and install the Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins. (check DECRYPT_INSTRUCTION.HTML for correct amount based on date) and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed earlier. From there, hit the "Send" tab Send the remaining BTC (bitcoin) to our Bitcoin-wallet address:
1Pw1Jin***
Now submit the form below, only if you've actually sent the Bitcoins Upon manual verification of the transaction you will receive the decrypter through email within 12 hours ALL of your files/data will then be unlocked and decrypted automatically.
Do NOT move files around or try to temper them in any way. because the decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again! If payment is not received within ten days (check DECRYPT_JNSTRUCTION HTML for date) the price for the decrypter is doubled Scheduled deletion of the key is after 30 days, we will not be able to recover files after this.
Your
BTC-address:
Your ID:
Your Email:
Submit

Перевод текста со страницы сайта оплаты:
Инструкции по разблокировке ваших файлы / данных:
1. Загрузите и установите приложение Multibit. Это даст вам свой адрес Bitcoin-кошелька. Вы можете найти его на вкладке "Request". Вставить это в поле "Your BTC-address" ниже.
2. Купите биткоины. (Проверьте в DECRYPT_INSTRUCTION.HTML корректность суммы по дате) и отправьте их на свой адрес Bitcoin-кошелька, они отобразятся в приложении Multibit, что вы установили ранее. Оттуда нажмите "Send" для отправки оставшихся BTC (Bitcoin) на адрес нашего Bitcoin-кошелька:
1Pw1Jin***
Теперь заполните форму ниже, только если вы уже послали биткоины после ручной проверки, из
сделки вы получите декриптер по email в течение 12 часов, все ваши файлы / данные будут
разблокированы и расшифрованы автоматически.
НЕ перемещайте файлы или пытайтесь их поправить каким-либо образом, потому что декриптер больше не будет работать
Пожалуйста, помните, что это единственный способ, чтобы снова получить доступ к вашим файлам! Если платеж не получен в течение десяти дней (проверьте DECRYPT_JNSTRUCTION HTML по дате) цена на декриптер удваивается, по расписанию удаление ключа через 30 дней, мы не сможем восстановить файлы после этого.
Ваш BTC-адрес:
Ваш ID:
Ваш Email:
Отправить

---


Другой вариант записки содержит другие адреса. 

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1. lgemfolpt5ntjaot.onion.nu 
Your ID# is qDgx5Bs8H
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: lgemfolpt5ntjaot.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: lgemfolpt5ntjaot.onion.nu 
Your Home PAGE(using TOR): lgemfolpt5ntjaot.onion
Your ID# (if you open the site (or TOR's) directly): qDgx5Bs8H
---
Guaranteed recovery is provided before scheduled deletion of private key on the day of 11/28/2015 12:56:49
The price to obtain the decrypter goes from 2BTC to 4BTC on the day of 11/08/2015 12:56:49
---

Записки о выкупе является копиями той, что использовалсь в Cryptowall Ransomware, но вымогатель добавил свои собственные предупреждения внизу, сообщая, что цена выкупа возрастет, если выкуп не заплатят быстро. Также имеется идентификатор, который должен быть уникальным для каждой жертвы. На самом деле этот идентификатор у всех одинаковый.

Другим информаторами жертвы являются сайты, указанные в записке. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Разработан в PowerShell и представляет собой небольшой 54-строчный скрипт. При запуске он сначала удаляет теневые копии файлов, чтобы  исключить возможность восстановления файлов. 

➤ Файлы шифруются с помощью AES, хотя в записке указан RSA-2048, а затем из-за ошибки в программировании ключ шифрования не сохраняется. Разработчик-вымогатель не написал всего лишь один пропавший символ "=". По этой причине зашифрованные файлы становятся невосстановимыми, даже если заплатить выкуп. Уплата выкупа безполезна! 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (450 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы бухгалтерских, налогоплатежных и прикладных программ, файл Alcohol, файлы AutoCAD и других подобных программ, архивы и пр. 

Файлы, связанные с этим Ransomware:
README.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.txt - название файла с требованием выкупа;
DECRYPT_INSTRUCTION.html - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла. 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: vswefkqsipoeuq5o.onion.nu
Tor-URL: vswefkqsipoeuq5o.onion
URL: lgemfolpt5ntjaot.onion.nu 
Tor-URL: lgemfolpt5ntjaot.onion
Email: - 
BTC: 1Pw1JinSMhf93MRqfYW3KeywX8oFjs6fLe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up on BC
 ID Ransomware (ID PowerShell Locker)
 Topic on BC
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *