Если вы не видите здесь изображений, то используйте VPN.

понедельник, 23 мая 2016 г.

BadBlock

BadBlock Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. 

К зашифрованным файлам никакое специальное расширение не добавляется. 

  Записки о выкупе называются Help Decrypt.html и Help_Decrypt.txt и размещаются в каждой папке с зашифрованными файлами. 

В качестве обоев рабочего стола ставится изображение Help_Decrypt.png с аналогичным содержанием и таким же яркокрасным дизайном. 

Содержание записки о выкупе:
BadBlock is on the block!
This machine was infected with ransomware BadBlock. Many of your files are encrypted using RSA algorithm, and
the key to decrypt this files is with us on our server.
- What this means?
It means that to decrypt and recover your files, you will need to pay a ransom, in bitcoins. The actual ransom for your machine is 2 bitcoins (USD -900.00).
If you are not interested in pay this ransom, you can easily format this machine, or even remove BadBlock (it's not that hard), but all your files will become unrecoverable!
- How do I pay?
You simply buy bitcoins. and transfer them to this account: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
The amount is 2 bitcoins. like we talked earlier... You can use this link or this link to help you out on how to buy the bitcoins.
- What happens after the payment?
BadBlock still running on your computer right now. and waiting to detect one payment of 2 BTC on the address mentioned above. Once it detects, it will start to decrypt all the encrypted files. The process to detect the payment can take up to 2 hours, and only after this it will start decrypting your files. So after payment leave this machine powered.
For this reason, we strongly recommend you to not try to remove BadBlock. and disable your anti-virus for a while, until you pay and the payment gets processed, to BadBlock start decrypting. If your anti-virus gets updated and remove BadBlock automatically, even if you pay the ransom, it will not be able to recover your files!
- How do I know that you will really decrypt my files after payment?
You don't You have only one choice to recover your files: pay the ransom. We have no interest in keeping your files locked for any reason. So right now. just rely on us and everything will be fine.

Перевод записки на русский язык:
BadBlock в действии! (Буквально "в на блоке")
Эта машина инфицирована вымогателем BadBlock. Многие ваши файлы зашифрованы с помощью алгоритма RSA, а ключ дешифровки хранится на нашем сервере.
- Что это значит?
Это значит, что для дешифровки и восстановления файлов вам нужно заплатить выкуп в биткоинах. Он составляет 2 BTC или $900.
Если вы не желаете платить выкуп, то можете легко отформатировать диск, или даже удалить BadBlock (это нетрудно), но все ваши файлы будут утеряны!
- Как уплатить выкуп?
Нужно купить биткоины и передать их на этот счет: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
Всего 2 биткоина, как мы говорили ранее. Вы можете использовать эту или эту ссылку, чтобы узнать, как купить биткоины.
- Что будет после уплаты выкупа?
BadBlock будет работать на вашем ПК и ждать информации о поступлении 2 BTC на указанный адрес. После получения этой информацию, он начнет дешифровку всех зашифрованных файлов. Ожидание платежа длится до 2-х часов, и только после этого начнется дешифровка файлов. Поэтому, после оплаты оставьте ПК включенным.
Потому, мы рекомендуем не пытаться удалять BadBlock и отключить на время антивирус, пока вы платите, платеж обрабатывается, BadBlock ждёт, чтобы начать дешифровку. Если ваш антивирус обновится и автоматом удалит BadBlock, то, даже если вы платили выкуп, он не сможет восстановить ваши файлы!
- Как я узнаю, что вы расшифруете мои файлы после уплаты?
Нет другого способа, чтобы восстановить файлы: только уплата выкупа. Мы по-любому не хотим хранить заблокированные файлы. Так что, просто доверьтесь нам и все будет хорошо.


Технические детали

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player и другими способами. 

➤ Важные особенности BadBlock:
1) В отличие от почти всех других вымогателей инфекций, BadBlock не только шифрует свои файлы, но также шифрует исполняемые файлы на вашем ПК, в том числе важные системные файлы Windows. Это значит, когда вы перезагрузите ПК после шифрования BadBlock-а, то обнаружите, что система больше не запускается из-за того, что важные исполняемые файлы были зашифрованы, как показано на картинке ниже.

2) Большинство криптовымогателей не любят раньше времени, пока шифрование не завершено, демонстрировать свое присутствие. BadBlock же наоборот, открыто говорит жертве, что он делает в то самое время, когда это делает, см. скриншот ниже. 

 3) Так как пользователь уже будет знать, что BadBlock шифрует его файлы, то может в диспетчере задач завершить процесс badransom.exe, чтобы прервать шифрование. 

 ➤ Впервые запустившись на компьютере BadBlock создаёт исполняемый файл со случайным именем в директориях %AppData% и %LocalAppData%. Этот исполняемый файл запускается и начинает сканирование всех дисков (от C до Z) на компьютере в поисках целевых данных для шифрования. 

➤ Примечательно, что Windows 10 также подвержена атаке этого шифровальщика. 

Список файловых расширений, подвергающихся шифрованию:
3ds, .3fr, .7z, .aac, .accdb, .accdc, .accde, .accdt, .ai, .apk, .arch00, .arw,.asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c4d, .cab, .cas, .cdr, .cdt, .cer, .cfr, .cr2, .crt, .crw, .class, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbx, .dbf, .dcr, .dds, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drw, .dwg, .dxf, .dxg, .epk, .eps, .erf, .esm, .exe, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gdoc, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .maf, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrwref, .msg, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .old, .orf, .ott, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pic, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwi, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .save, .sb, .sdc, .sdf, .sdw, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .swf, .sxw, .syncdb, .t12, .t13, .tax, .tif, .tor, .txt, .u3d, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vsd, .vtf, .w3x, .wb2, .wav, .wdb, .webm, .wma, .wmf, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (244 расширения).

Файлы, связанные с этим Ransomware:
Help Decrypt.html  - во всех папках с зашифрованными файлами
Help_Decrypt.txt - во всех папках с зашифрованными файлами
Help_Decrypt.png - встаёт на обои Рабочего стола
badblock.exe - исполняемый файл и файл экрана блокировки
badransom.exe - копия оригинального файла
baman.vad - файл с кодом
<random>.exe - случайное название
calculator.vbs

notepad.vbs
Всего 444 файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User_name\Documents\badblock.exe
C:\ProgramData\Network Prosoft\badransom.exe 
C:\ProgramData\Network Prosoft\baman.vad
C:\ProgramData\Network Prosoft\warn: - содержимое файла Help Decrypt.html

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\AutoDetect
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://managemilz.com/
BTC-1: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
BTC-2: 115JX84uZi1VSpYcPjdAn3YgEe4gZxGHKr
BTC-3: 1Bxsquyg8bnf7hZWj62XsqTjvsHhs6CfrB

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространенности: высокая.
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть два дешифровщика
1) Скачать BadblockDecrypter от Emsisoft >>
***
2) Скачать Avast free decryption tool >>
***
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BadBlock)
 Write-up, Topic of Support
 * 
 Thanks: 
 Mosh, Michael Gillespie
 BleepingComputer
 Jakub Kroustek
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 22 мая 2016 г.

PClock, PClock2

PClock и PClock2 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма XOR (больше запутывая, чем шифруя), используя постоянный ключ на всех системах, а затем требует 1 биткоин за расшифровку. PClock подражает "старшему брату", вымогателю CryptoLocker, давно отключенному, выводит требование в записке от его имени, утверждая, что шифрует данные с помощью алгоритма AES-256 с RSA-2048 ключом, но сам по сути довольно примитивен по функционалу. 
 

  PClock даёт жертве на уплату выкупа 72 часа, в противном случае угрожает уничтожить ключи дешифровки. Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В каждой папке с зашифрованными файлами помещается записка о выкупе enc_files.txt. В дикой природе PClock начал свою "деятельность" в начале 2015 года. 

  Не совсем понятно, как PClock, написанный на Visual Basic 6, попадает в систему пользователя. Вероятно с загрузками файлов, После запуска он копирует себя в папку AppData текущего пользователя, используя вложенную папку "WinCL" и имя исполняемого файла "WinCL.exe". Затем он прописывается в Автозагрузку системы, создав новое значение с именем "wincl" в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run . 

  Потом PClock пытается удалить все теневые копии файлов, чтобы затруднить их восстановление. Из-за примитивизма вымогателя иногда они всё же остаются. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .h, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

  Все свои действия PClock записывает и отправляет на C&C-сервер: файлы зашифрованы, статус ОК, теневые копии удалены, обои изменены, ОК и пр. 


   PClock2 Ransomware — вторая версия одноименного вымогателя, шифрует файлы, используя случайным образом сгенерированный ключ и алгоритм RC4, а затем требует 0,5 биткоина  за расшифровку. PClock2 даёт жертве на уплату выкупа 7 суток (168 часов). Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В дикой природе PClock2 начал свою "деятельность" в апреле 2015 года. 
 

  В отличие от первой версии PCLock2 всеяден, потому что настроен на шифрование 2583 (!) файловых расширений. 

Файлы, принадлежащие вымогателю:
%APPDATA%\WinDsk\windsk.exe - исполняемый файл вымогателя;
%APPDATA%\WinDsk\windskwp.jpg - сгенерированное изображение для смены обоев на Рабочем столе;
%DESKTOP%\CryptoLocker.lnk - ярлык на исполняемый файл вымогателя;
%USERPROFILE%\enc_files.txt - список зашифрованных файлов.

PCLock2 прописывается в Автозагрузку системы аналогично первой версии:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
“wincl” = “%APPDATA%\WinDsk\windsk.exe”

PCLock2 сохраняет детали заражения и отсчет времени на уплату выкупа в ключе:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK

Степень распространённости: средняя.
Подробные сведения собираются.



Внимание!!! 

Для зашифрованных файлов есть декриптер.



EnCiPhErEd

EnCiPhErEd Ransomware

Xorist-EnCiPhErEd Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные с помощью алгоритма XOR или TEA. Относится к семейству Xorist-вымогателей

К зашифрованным файлам добавляется расширение .EnCiPhErEd

Этимология названия: 
В названии расширения заложено слово "enciphered" (англ. "зашифровано"). 

Пример зашифрованного файла: Document.txt.EnCiPhErEd

  По завершении шифрование отображается записка с требованием выкупа HOW TO DECRYPT FILES.txt, содержащая инструкцию по уплате выкупа и получения пароля дешифровки. Она размещается в каждой папке с зашифрованными файлами. 

В одном варианте записки жертва должна отправить текстовое SMS-сообщение с ID, присвоенным компьютеру, на предложенный номер. Во втором варианте выкупа предложено перевести 2 биткоина на Bitcoin-адрес. В третьем, нужно связаться по email. 

Первый вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send an SMS with the text XXXX to YYYY number.
You have N attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте SMS с текстом ХХХХ на номер YYYY.
У вас есть N попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!

Второй вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send 2 Bitcoin to adress
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd 
and email to j73419517739xu@163.com proof (screen or smth) of your payment.
After receiving the money, I will send you your password and decrypt instruction via email.
You have 20 attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте 2 биткоина на адрес
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd
и на email j73419517739xu@163.com подтверждение (скриншот) платежа.
Получив деньги, я пошлю тебе пароль и инструкции для дешифровки по email.
У вас есть 20 попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!



Технические детали

Вымогатель вносит в систему ряд критических изменений, в том числе отключает восстановление системы, прописывается в Автозагрузку, чтобы выводить требования о выкупе и продолжать шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (57 расширений).

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи криптовымогателей.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist-Vandev Ransomware - февраль 2012
другие ранние варианты - 2012-2015
Xorist (2016-2019) Ransomware  - март 2016
Xorist-EnCiPhErEd Ransomware  - май 2016
Xorist-FakeRSA Ransomware  - февраль 2017
Xorist-Zixer2 Ransomware  - апрель 2017
Xorist-TraNs Ransomware  июнь 2017
Xorist-RuSVon Ransomware  - июль 2017
Xorist-Hello Ransomware  - август 2017
Xorist-CerBerSysLock Ransomware  - декабрь 2017
Xorist-Frozen Ransomware  - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware  - июль 2018
Xorist-Mcafee Ransomware  - январь 2019

Xorist-Mcrypt2019 Ransomware  - июль 2019




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 22 марта 2020:
Пост на форуме >>
Расширение: .GiTeR
Записка: HOW TO DECRYPT FILES.txt
Записка о выкупе от 29 августа 2016.
Email: gitersupp@protonmail.com, giter@cock.li
BTC: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
➤ Содержание записки: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
After that, contact me at this email adress: gitersupp@protonmail.com or giter@cock.li
With this subject: GITER-H457342020013
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Обновление от 28 марта 2020:
Пост в Твиттере >>
Расширение: .ZyNoXiOn
Записка: HOW TO DECRYPT FILES.txt
Записка о выкупе от 28 августа 2016.
Email: zynoxion@protonmail.com
Результаты анализов: VT + VMR
➤ Содержание записки:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC address: 1F3SBmMNsQASLAt8xfD9JYDPhvb7B7d1CB
After that, contact me at this email address: zynoxion@protonmail.com
With this subject: ZYNOXION-G43829340920013
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!!! 
Для зашифрованных файлов есть декриптер. 
Скачайте Xorist Decrypter >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель) 

Translation into English


  Этот крипто-вымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. CrySiS  создан и распространялся из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 


Изображение - это логотип статьи

© Генеалогия: CrySiS > Crysis XTBL, DharmaPhobos

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году.  

Зашифрованные файлы получают расширение .CrySis, которое дополняется email-адресом вымогателей. Данный приём позже стал довольно популярным среди вымогателей. По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Записка с требованием выкупа называется: How to decrypt your files.txt

Содержание записки о выкупе:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to to write us at the email: dalailama2015@protonmail.ch with the subject "encryption" stating your id.
Write in the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
P.S. only in case you do not receive a response from the first email address within 48 hours please use this alternative email goldmanO@india.com

Перевод текста на русский язык:
Внимание! На ваш компьютер атаковал вирус-энкодер.
Все ваши файлы зашифрованы криптографически сильно, без оригинального ключа восстановление невозможно! Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на email: dalailama2015@protonmail.ch с темой "шифрование" с указанием вашего идентификатора.
Напишите в случае, не тратьте свое и наше время на пустые угрозы.
Ответы на письма только подходящим людям неадекваты игнорируются.
P.S. только в том случае, если вы не получите ответ с первого email-адреса в течение 48 часов, пожалуйста, используйте этот альтернативный email goldmanO@india.com

Некоторые версии Crysis устанавливают своё изображение (wp.jpg или DECRYPT.jpg) в качестве обоев рабочего стола файл с тем же содержанием. 


Обои, установленные вымогателем

Текстовое сообщение вымогателя


Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Файлы, принадлежащие вымогателю:
C:\Users\User\Desktop\name.exe
C:\Users\User\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\User\Documents\wp.jpg или DECRYPT.jpg
C:\Users\User\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Известные email вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
и другие.

Степень распространённости: высокая
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщики! 
*
1) Скачать RakhniDecryptor для CrySiS >>
2) Скачать Avast Decryptor для CrySiS >>
3) Скачать ESET Crysis decryptor для CrySiS >>
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.


AxCrypter

AxCrypter Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты Axantum AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic > AxCrypter 

К зашифрованным файлам добавляется расширение .axx
Завершив шифрование вымогатель удаляет теневые копии файлов. 

Часть текста из записки о выкупе:
I encrypt some data that I believe are important to your system.
Only your server to encrypt your data so you can bring me back again,
* .axx Extension with its own place in your home directory or disk "reserves" named
After you hide the folder, it will not be brought back to delete data by writing over the original.
If your data again working my way wish to install on your server Eders new me
Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
I demand from you to your system cost $ 2,500. If we agree on,
I will send the necessary information in order to transfer you the money gönfer.
control the delivery of a currency that you sent me (at the latest half an hour) then your system 
I made it to connect older.
...

Перевод текст на русский язык (ужасный английский):
Я зашифровал некоторые данные, которые, как я считаю, важны для вашей системы.
Только на вашем сервере зашифрованы ваши данные, чтобы вы могли вернуть файлы в *.axx расширением из вашего домашнего каталога или "резервного" диска 
После того, как вы скроете папку, она не будет возвращена, чтобы удалить данные, написав оригинал.
Если ваши данные снова работают по моему желанию, установите на свой сервер Eders новый мне
Пожалуйста, свяжитесь с нами по email. Создайте свой ip обязательно в теме email-письма, которое вы напишете.
Я требую от вас за вашу систему сумму в 2500 долларов. Если согласны,
я пришлю необходимую информацию, куда вам передать деньги gönfer.
контролируйте доставку валюты, которую вы отправили мне (не позднее получаса), тогда ваша система
Я сделал это для подключения позже.

  Вымогательская записка довольно длинная, текст путаный, несвязный, есть турецкие слова в тексте записки (Eders, gönfer), что может указывать на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель осуществляет таргетированную атаку серверов организаций. 

Технические детали

Нет данных о массовом распространении. Скорее всего шифрование осуществляется после проникновения через незащищенную конфигурацию RDP.

➤ Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе. 

Степень распространённости: единичные случаи. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

пятница, 20 мая 2016 г.

Bloccato

Bloccato (Italian) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256 и требует 5 биткойнов ($2000) за расшифровку. Причем, эта сумма выкупа, уплаченного в течении 3 дней, после шифрования, потом будет уже 10 битоинов и еще 3 суток на уплату, после чего ключ дешифрования будет уничтожен. Вымогатели обещают прислать ключ в течении 3 суток после уплаты выкупа. Файлы, зашифрованные с помощью Bloccato, получают расширение .bloccato

© Генеалогия: Hidden Tear >> Bloccato (Italian)

Криптовымогатель ориентирован на итальянских пользователей, т.к. название записки о выкупе и текст написаны на итальянском языке. Слово bloccato переводится с итальянского как "блокирован". 

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, через вредоносные вложения в фишинг-письма и сети общего доступа. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа LEGGI QUESTO FILE.txt  добавляется на Рабочий стол и в каждую папку с зашифрованными файлами. 

Содержание записки о выкупе:
EGREGIO AMICO, I SUOI FILES SONO STATI CRIPTATI CON UN ALGORITMO AD ELEVATA CIFRATURA
LA CHIAVE PER RIPRISTINARE I SUOI FILES È STATA MEMORIZZATA SU UN NOSTRO SERVER SEGRETO\nPER AVERLA DOVRÀ PAGARE CON 5 BITCOIN ENTRO MASSIMO 3 GIORNI
QUALORA NON DOVESSE PAGARE ENTRO I TERMINI SPECIFICATI, IL COSTO DELLA CHIAVE SALIRÀ AUTOMATICAMENTE A 10 BITCOIN
E AVRÀ SOLO ALTRE 72 ORE DI TEMPO PER PAGARE.
SE RIFIUTA DI PAGARE LA CHIAVE VERRÀ DISTRUTTA DEFINITIVAMENTE
MEDESIMO DESTINO SE PROVERÀ A RIMUOVERE O A ELIMINARE QUESTO PROGRAMMA
PER SAPERE COME FARE AD EFFETTUARE IL PAGAMENTO IN BITCOIN VADA SU QUESTO SITO: WWW.COMPRABITCOIN.IT O SU WWW.BITCOIN.ORG/IT O BISTAMP.NET
SE RISCONTRASSE DIFFICOLTÀ LA INVITO A RIVOLGERSI AD UN ESPERTO INFORMATICO PER FARSI AIUTARE
QUESTO È L'INDIRIZZO BITCOIN A CUI INVIARE IL DENARO: 1FVGnjjRNg8k7RgXMsvQpVdeRyJtHsXV6T
ENTRO 72 ORE DAL RICEVIMENTO DEL PAGAMENTO LE INVIEREMO IL CODICE,
E TUTTE LE INFORMAZIONI UTILI ALLO SBLOCCO DI TUTTI I SUOI FILES.
CERTO DI UN SUO FAVOREVOLE RISCONTRO LE PORGO I MIEI PIÙ CORDIALI SALUTI

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dbf, .dif, .doc, .docx, .dwg, .dxf, .eps, .fm3, .html, .jpeg, .jpg, .mdb, .mov, .odt, .pdf, .png, .pps, .ppt, .pptx, .psd, .rar .rtf, .sql, .txt, .wks, .xls, .xlsx, .xml, .zip

Файлы, принадлежащие вымогателю:
mateo-renzi.exe - исполняемый файл, названный так по имени премьер-министра Италии Матео Ренци;
LEGGI QUESTO FILE.txt  - записка о выкупе, переводится как "Прочтите этот файл".

Степень распространённости: низкая. 
Подробные сведения собираются.

четверг, 19 мая 2016 г.

Zyklon Locker

Zyklon Locker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов. Название Zyklon переводится с английского как "циклон". 

  Генеалогия: GNL Locker > Zyklon Locker

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, DB-загрузок, через вредоносные вложения в фишинг-письма, с помощью фальшивых исполняемых файлов популярных программ, через поддельные Java или флэш-обновления и сети общего доступа. 

  Записки с требованием выкупа и с инструкциями для уплаты выкупа UNLOCK_FILES_README.html и UNLOCK_FILES_README.txt добавляются на Рабочий стол и в каждую папку с зашифрованными файлами. 

 По некоторым данным, Zyklon — это модификация уже известного GNL Locker, созданного для Германии и Нидерландов, только получившая новое расширение и название записок о выкупе. Информация проверяется. 

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tar.gz, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd,  .vcf, .vob, .wav, .wma, .wmv,  .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (157 расширений). 

Это документы MS Office, OpenOffice, файлы изображений, аудио-видео, CAD-файлы, зашифрованные легитимными программами файлы, CAD-файлы, образы, проекты, файлы других прикладных программ. 

Zyklon добавляется в автозагрузку системы, изменив одну из следующих записей реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Файлы, принадлежащие вымогателю:
Zyklon.exe - исполняемый файл;
UNLOCK_FILES_README.html - записка о выкупе в HTML-формате;
UNLOCK_FILES_README.txt - записка о выкупе в TXT-формате. 

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *