Если вы не видите здесь изображений, то используйте VPN.

четверг, 14 апреля 2016 г.

Radamant 1.0, 2.0, 2.1

Radamant Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: DirectX.exe, StubNew.exe

© Генеалогия: Radamant > Radamant 2 

К зашифрованным файлам добавляется расширение: 
.RDM -  в 1-й версии;
.RRK - во 2-й версии;
.RADAMANT - в 2.1 версии;
.RAD - в версии марта-апреля 2016.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г., продолжилась до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Если зараженный компьютер принадлежат к одной из следующих стран, автоматический запускается процесс расшифровки всех файлов с расширением .RADAMANT: 
Беларусь
Казахстан
Россия
Украина

Текстовой записки с требованием выкупа нет, вместо неё на рабочем столе создаётся ссылка YOUR_FILES.url, которая ведёт на сайт оплаты выкупа. На сайте интерфейс представлен на 8 языках, в том числе на русском. 


 

Содержание страницы о выкупе:
Attention! What happened?
All your files on hard drives, removable media and network shares have been cryptographically encrypted AES-256 algorithm encryption key RSA-2048
Expansion of encrypted files: .RDM
To date, the encryption algorithm AES-256 is not possible decrypt.
Learn more about the algorithm can be here: Wikipedia
What to do?
The key to decrypt your files stored on our server. For decrypt the need to make a few simple steps:
1 Create Bitcoin Wallet
We recommend: blockchain.info
2. Get cryptocurrency Bitcoin
We recommend:
1) localbitcoins com - (Visa/MasterCard, QIWI Visa Wallet, Any Bank and etc.)
2) btc-e.com (WebMoney, Visa/MasterCard and etc. )
3. Send 0.5 BTC (227.37 USD) to the address: *****
Attention! When sending a small amount bitcoin of the transaction will not be counted!
4. After payment confirmation expected transaction from 15 minutes to 72 hours
5. After payment of this page will automatically notify you of the beginning of the decryption of files
We strongly recommend not to disconnect the power supply, as well as to extract the encrypted electronic data earners!
If you remove the removable media before decryption, connect them again and confirm "RESCAN".
After performing these actions will remove the program from your computer
To carry out actions you have:*
***timer***
At the expiry of the time redemption amount will be increased. Please make payment in a tímely. 
DANGEROUS! 
Do not try to cheat the system, edit encrypted files, or uninstall. This will result in the inability to recover your data, and we can not help you. 
We recommend:
1 Bitcoin FAQ: blockchain.info
2. Bitcom wallet FAQ: blockchain.info
You can contact us by e-mai to assist in payment and explanation of the 1 test fie free.
E-mail: *****
RADAMANT RANSOMWARE KIT

Перевод страницы на русский язык:
Внимание! Что случилось?
Все ваши файлы на жестких дисках, сменных носителях и сетевых папках были криптографически зашифрованы AES-256 алгоритм шифрования ключа RSA-2048
Расширение зашифрованных файлов: .RDM
На сегодняшний день алгоритм шифрования AES-256 невозможно дешифровывать.
Узнать об алгоритме можно здесь: Википедия
Что делать?
Ключ для дешифровки файлов хранится на нашем сервере. Для расшифровки нужно сделать несколько простых шагов:
1 Создать Bitcoin-кошелек
Мы рекомендуем: blockchain.info
2. Получить криптовалюту Bitcoin
Мы рекомендуем:
1) localbitcoins COM - (Visa / MasterCard, Visa QIWI Кошелек, любой банк и т.д.)
2) btc-e.com (WebMoney, Visa / MasterCard и т.д.)
3. Отправить 0,5 BTC (227.37 USD) на адрес: *****
Внимание! При отправке меньшего количества Bitcoin сделки не будут учитываться!
4. После подтверждения оплаты ожидается транзакция от 15 минут до 72 часов
5. После оплаты эта страница будет автоматически уведомлять вас о начале дешифровки файлов
Мы очень рекомендуем не отключать электропитание, а также для извлечения зашифрованных электронных добытчиков данных!
Если вы удалили съемный носитель перед дешифровкой, подключите его снова и подтвердите "Rescan".
После выполнения этих действий будет произведено удаление программы с компьютера
Для выполнения действий, у вас есть:
***таймер***
По истечении времени сумма выкупа будет увеличена. Пожалуйста сделайте оплату вовремя.
ОПАСНО!
Не пытайтесь обмануть систему, редактировать зашифрованные файлы или удалить. Это приведет к невозможности восстановить ваши данные, и мы не сможем вам помочь.
Мы рекомендуем:
1 Bitcoin FAQ: blockchain.info
2. Bitcom-кошелек FAQ: blockchain.info
Вы можете связаться с нами по email для помощи по оплате и бесплатной расшифровки 1 тестового файла.
Эл. адрес: *****
RADAMANT RANSOMWARE KIT

Текст из окна дешифровщика:
Now begins the decryption of your files! Do not turn off the power and turn on the carriers that have been encrypted! When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифровка файлов! Не выключайте питание и подключите носители, что были зашифрованы! Будете готовы, жмите "OK".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в том числе фальшивых PDF), набора эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются все теневые копии файлов командой:
process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

Список файловых расширений, подвергающихся шифрованию:
.0,36, .0,411,.1cd, .1st, .2bp, .3dm, .3ds, .3fr, .4db, .4dl, .4mp, .73i, .8xi, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .apng, .aps, .apt, .apx, .art, .art, .artwork, .arw, .arw, .asc, .ascii, .ase, .ask, .asw, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bib, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bzabw, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .cr2, .crd, .crd, .crwl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .design, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djv, .djvu, .djvu, .dm3, .dmi, .dmo, .dnc, .dne, .doc, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .erf, .err, .err, .etf, .etx, .euc, .exr, .fadein, .fal, .faq, .fax, .fb2, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fic, .fid, .fif, .fig, .fil, .fil, .flc, .fli, .flr, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpt, .fpx, .frt, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gif, .gih, .gim, .gio, .gio, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gsd, .gthr, .gtp, .gv, .gwi, .hbk, .hdb, .hdp, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hs, .htc, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jp2, .jpe, .jpe, .jpeg, .jpeg, .jpeg, .jpg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .klg, .knt, .kon, .kpg, .kwd, .latex, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m3d, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5txt, .mdb, .mdbhtml, .mdf, .mdn, .mdt, .me, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .movie.byu, .mpf, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nsf, .nv2, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odm, .odo, .ods, .odt, .ofl, .oft, .omf, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p7s, .p96, .p97, .pages, .pal, .pan, .pano, .pap, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pcx, .pcx, .pdb, .pdb, .pdb, .pdd, .pdf, .pdm, .pdn, .pdn, .pe4, .pe4, .pef, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pm, .pmg, .pmg, .png, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .ps, .ps, .psd, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .readme, .rft, .rgb, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtf, .rtx, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .sct, .scv, .scw, .sdb, .sdb, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssfn, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svg, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tb0, .tbn, .tcx, .tdf, .tdf, .tdt, .te, .teacher, .tex, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tif, .tiff, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmd, .tmv, .tmx, .tn, .tne, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unx, .uof, .uot, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .vw, .wb1, .wbc, .wbd, .wbk, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wmdb, .wmf, .wmf, .wn, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpd, .wpe, .wpg, .wpl, .wps, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsm, .xlsx, .xmind, .xmmap, .xpm, .xps, .xwp, .xwp, .xwp, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z3d, .zabw, .zdb, .zdc, .zif, .zw (944 расширения).

В версии 2.1 список расширений см. в скриншоте:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые файлы и пр.

Файлы, связанные с этим Ransomware:
%Desktop%\YOUR_FILES.url
C:\Windows\directx.exe
%AppData%\Roaming\DirectX.exe
zero.exe
build.exe
aaa.bat
%User%\Documents\random_folder\r1.exe.exe
%Temp%\<random>.exe
%Temp%\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
crazytrevor.com
crazytrevor.in
checkip.dyndns.org
tangotangocash.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >> Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер!



 Read to links: 
 Topic on BC (Support and Help)
 ID Ransomware (ID as Radamant, Radamant v2.1)
 Write-up
 Write-up (analysis)
 *
 Thanks: 
 Lawrence Abrams
 Fabian Wosar
 Michael Gillespie
 Mosh on Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 апреля 2016 г.

PowerWare

PowerWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC-режим), а затем требует посетить Tor-сайт вымогателей, чтобы ознакомиться с инструкциями, заплатить выкуп $500 в биткоинах, чтобы вернуть файлы. Через неделю после шифрования сумма удваивается до $1000. Шифрование выполняется, используя Windows PowerShell. Название получил от сложения слов PowerShell и Ware в описании исследователей из Carbon Black. 

© Генеалогия: PowerShell Locker 2015 > PowerWare > FTCODE
К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: FILES_ENCRYPTED-READ_ME.HTML

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1.xxxp://v2aahacan6ed564p.onion.nu
Please scroll below for your #UUID
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: v2aahgcan6ed564p.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: xxxp://v2aahqcan6ed564p.onion.nu
Your Home PAGE(using TOR): 3afd57c4dchzp3pe.onion
Please scroll below for your #UUID
---
Your #UUID is MNfYUEmu30dlgv5jnIPoD9akc
The price to obtain the decrypter goes from 500$ to 1000$ on the day of 04/01/2016 02:37:20

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием с RSA-2048.
Более подробную информацию о ключах шифрования с помощью RSA-2048 можно найти здесь: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
Что это значит?
Это значит, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
Как это произошло?
Специально для Вас, на нашем сервере был создан парный секретный ключ RSA-2048 - открытый и секретный.
Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет.
Дешифровать файлов можно только с помощью секретного ключа и декриптера, находящихся на нашем секретным сервере.
Что мне делать?
Увы, если не принять нужные меры в заданное время, то будут изменены условия для получения секретного ключа.
Если вы точно цените свои данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет.
---
Более подробные инструкции, пожалуйста, посетите домашнюю страницу:
1.xxxp://v2aahacan6ed564p.onion.nu
Пожалуйста, прокрутите ниже для вашего #UUID
---
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите TOR-браузер: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: v2aahgcan6ed564p.onion
4. Следуйте инструкциям на сайте.
---
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша домашняя страница: xxxp://v2aahqcan6ed564p.onion.nu
Ваша домашняя страница (с использованием ТЗ): 3afd57c4dchzp3pe.onion
Пожалуйста, прокрутите ниже для вашего #UUID
---
Ваш #UUID является MNfYUEmu30dlgv5jnIPoD9akc
Цена для получения Decrypter идет от 500 $ до 1000 $ в день 04/01/2016 02:37:20

В записке о выкупе в качестве алгоритма шифрования указан RSA-2048 для устрашения пострадавшей стороны. 

Распространяется с помощью email-спама и вредоносных вложений (например, Invoice 2016-M.docm, Faktura_2016-M.doc, Invoice 2016.zip, Invoice_2016_M.lnk и пр.), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


PowerWare маскируется под документы Microsoft Word в качестве счета-фактуры. 

При открытии этого файла предлагается включить макрос, якобы для правильного отображения содержимого документа. Если пользователь разрешит это действие, то будет создан процесс cmd.exe и вызван Windows PowerShell для загрузки и запуска вредоносного скрипта с сайта вымогателей. Таким образом вредоносную работу выполняет PowerShell, который не надо загружать из Интернета, потому что он компонент системы. 

После шифрования файлов PowerWare оставляет записки о выкупе в каждой папке с зашифрованными файлами, в которых подробно расписано как пострадавший пользователь может получить свои файлы обратно. Затем крипто-вымогатель самоликвидируется. 

На Tor-сайте вымогателей приведены инструкции по покупке биткоинов и передаче их вымогателям. Есть функция предварительной дешифровки файлов, чтобы доказать наличие работающего декриптера. 


Обманчивая простота в коде и "бестелесность" PowerWare представляет собой новый подход к производству программ-вымогателей. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx,  .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds,  .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spf, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xpi, .xpt, .xtwx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 
Это документы MS Office, PDF, базы данных, фотографии, анимация, музыка, видео, архивы, файлы налоговых деклараций, Adobe Photoshop, CorelDRAW и пр.

Файлы, связанные с этим Ransomware:
FILES_ENCRYPTED-READ_ME.HTML
Invoice 2016-M.docm
Faktura_2016-M.doc
Invoice 2016.zip
Invoice_2016_M.lnk
<random>.exe
<random>.tmp
<random>.lnk
<random>.docm
<random>.doc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
skycpa.in/pi.php
piecelaw.top
ruttslaw.work
104.131.129.248
162.243.240.178

Результаты анализов:
Гибридный анализ на инвойс >>
VirusTotal анализ на инвойс >>
Malwr анализ >>

По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью. Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе. Но так как известно немало случаев воровства цифровой подписи или получения её мошенниками, то лучше вообще отключить использование в Windows работу PowerShell как компонента. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Carbon Black
 Trend Micro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 11 апреля 2016 г.

Jigsaw

Jigsaw Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в  $150 USD или 0.4 BTC, чтобы вернуть файлы. Оригинальное название: JigsawRansomware, BitcoinBlackmailer. На файле написано: BitcoinBlackmailer.exe 

© Генеалогия: Jigsaw. Начало > CryptoHitman

Этимология названия: 
Вымогатель получил свое название в честь культового персонажа из фильма ужасов "Пила". на экране показывается эпатажное изображение "куклы Билли" из этого фильма.

К зашифрованным файлам добавляется расширение .fun
Другие расширения, использованные этим крипто-вымогателем в течении ближайших дней: 
.btc - от 12 апреля 2016
.kkk - от 12 апреля 2016
.gws - от 13 апреля 2016

Позже Jigsaw стал использовать следующие расширения:
.porno
.payransom
.payms
.paymst
.AFD
.paybtcs
.epic
.xyz - от 29 июля 2016
.encrypted
.hush
.paytounlock
.uk-dealer@sigaint.org
.gefickt
.nemo-hacks.at.sigaint.org

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных, португалоязычных, испаноязычных, немецкоязычных и пр. пр. пользователей, что помогает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.


Начальная и конечная части эпатажного требования о выкупе


Анимированное изображение всего процесса

Содержание текста может различаться не только в зависимости от версии или страны распространения, но и от того, где пострадавший подцепил эту штуку. 

Содержание текста о выкупе (1-й вариант): 
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
       Thank you

Перевод текста на русский язык: 
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Я ещё не удалил их.
У тебя есть 24 часа, чтобы заплатить 150$ в биткоинах, чтобы получить ключ дешифрования.
Каждый час файлы будут удаляться. Количество увеличится каждый раз.
Через 72 часа все оставшиеся будут удалены.
Если у тебя нет биткоинов гугли сайт localbitcoins.
Купи на 150$ США биткоины или 0.4 BTC. Система примет любой из них.
Отправь на указанный биткоин-адрес.
В течение двух минут после получения платежа твой компьютер получит ключ дешифрования и вернётся в нормальное состояние.
Попробуешь что-то смешное и на компьютере есть несколько способов для удаления твоих файлов.
Как только будет получен платеж, зашифрованные файлы будут возвращены в нормальное состояние.
       Cпасибо
======


Содержание текста о выкупе (2-й вариант): 
I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!  

Перевод текста на русский язык: 
Я хочу сыграть с тобой. Позволь мне объяснить правила:
Все твои файлы удаляются. Твои фотографии, видео, документы и т.д.
Но, не волнуйся! Это произойдет, только если ты откажешься.
Однако я уже зашифровал твои личные файлы, поэтому ты не сможешь получить к ним доступ.
Каждый час я выбираю некоторые из них для удаления навсегда,
поэтому я не смогу получить к ним доступ.
Ты знаком с концепцией экспоненциального роста? Позвольте мне помочь вам.
Она медленно начинается, а затем быстро увеличивается.
В течение первых 24 часов ты потеряешь только несколько файлов,
на второй день - несколько сотен, на третий день - несколько тысяч и т.д.
Если ты выключишь компьютер или попытаешься закрыть меня, то когда я запущусь в следующий раз, то ты потеряешь 1000 файлов, удалённых в наказание.
Да, ты сам захочешь, чтобы я запустился в следующий раз, т.к. я единственный, кто может расшифровать твои личные данные для тебя.
Теперь давай начнём и насладимся нашей маленькой игрой вместе!
======


Содержание текста о выкупе (3-й вариант):
Eu quero jogar um jogo. Deixe-me explicar as regras:
Todos os seus arquivos serao deletados. Fotos, vídeos, documentos, etc.
Mas nao se preocupe! Só vai acontecer se voce nao cooperar.
Porém, eu já encriptei seus arquivos, entao voce nao consegue mais acessá-los.
A cada hora eu seleciono algum deles para ser excluído permanentemente,
Voce conhece o conceito de crescimento exponencial? Funciona assim:
Começa devagar e acelera depressa
Nas primeiras 24h voce só perderá alguns arquivos
No segundo dia, algumas centenas, no teceiro, milhares, e assim vai
Se voce desligar seu computador ou tentar me fechar
1.000 (MIL) arquivos serao deletados como puniçao
E voce vai querer que eu continue aqui, 
já que sou o único que pode devolver seus arquivos
Agora, vamos jogar!
Envie 50 dólares (aproximadamente R$200) em bitcoins para o endereço abaixo 
(Se voce nao sabe comprar e enviar bitcoins, procure no Google. É fácil)

Перевод текста на русский язык: 
Я хочу сыграть в игру. Позволь мне объяснить правила:
Все твои файлы будут удалены. Фотографии, видео, документы и т.д.
Но не волнуйся! Это произойдет, только если ты не будешь сотрудничать.
Тем не менее, я уже зашифровал твои файлы, поэтому ты не сможешь их получить.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда.
Ты знаешь концепцию экспоненциального роста? Она работает так:
Медленно начинается и быстро ускоряется.
В первые 24 часа ты потеряешь только некоторые файлы.
На второй день - несколько сотен, на третий - тысячи и так далее.
Если ты выключишь компьютер или попробуешь закрыть меня, то в наказание будут удалены 1000 файлов.
И ты захочешь, чтобы я остался здесь, т.к. я единственный, кто может вернуть твои файлы
Теперь давай играть!
Отправь 50$ (приблизительно 200 R$) в биткоинах по адресу ниже
(Если ты не знаешь, как покупать и отправлять биткоины, или в Google).
---
200 R$ - это 200 бразильских реалов. 


Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun (или одно из новых) к имени файла.

При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в директории \System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.

Если в назначенный час количество поступивших на биткоин-адрес вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.

Список файловых расширений, подвергающихся шифрованию:
.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg.eps, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .h, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .ini, .inx, .jar, .java, .jpeg, .jpg, .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wav, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zip (206 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BitcoinBlackmailer.exe
firefox.exe
drpbx.exe
Address.txt
EncryptedFileList.txt

Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
C:\Users\User\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
1fichier.com***
btc.blockr.io***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+>>
VirusTotal анализ >>

Степень распространённости: средняя, но и перспективно высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11 мая 2016:
См. статью CryptoHitman Ransomware

Обновление от...
См. статью...


Обновлённый список используемых расширений (по алфавиту):
.afc, .AFD, 
.beep, .btc, 
.Contact_TarineOZA@Gmail.com_, .crypte, .Crypto, 
.die, 
.encrypted, .epic, 
.fun, 
.game, .gefickt, .getrekt, .ghost, .gws, 
.hush, 
.ice, .ini, .I'WANT MONEY, 
.jey, 
.kill, .kkk, .korea, 
.lckd, .locked, .Locked, .lost, 
.nemo-hacks.at.sigaint.org, 
.pabluk300CrYpT!, .pablukCRYPT, .pabluklocker, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom, 
.R3K7M9, .ram, .rat, 
.sux, 
.tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours, 
.uk-dealer@sigaint.org, 
.versiegelt, 
.xyz

Новые см. ниже.  


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>
Он регулярно обновляется под новые версии
***
 Read to links: 
 ID Ransomware (ID as Jigsaw)
 Write-up, Topic of Support, Mass media, Malekal's forum
 🎥 Video review
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 MalwareHunterTeam 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *