Если вы не видите здесь изображений, то используйте VPN.

понедельник, 6 июня 2016 г.

Herbst, Autumn

Herbst (Autumn) Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. Ориентирован на немецкоязычных пользователей. 

К зашифрованным файлам добавляется расширение .herbst. Название происходит от немецкого слова "der Herbst" — "осень" (англ. Autumn). Оригинальное название: Kryptolocker.

  Записка с требованием выкупа Encrypted.html написана на немецком языке и представляет собой диалоговое окно с формой вставки текстовой информации, необходимой для дешифровки файлов после получения оплаты. 

  Herbst шифрует данные в каталоге StartupPath и папках пользователя Desktop, MyPictures, MyMusic, Personal. Шифруются не только пользовательские, но и исполняемые файлы и даже ярлыки (см. скриншот ниже). 

Перевод записки о выкупе на русский язык: 
Ваш компьютер только что был зашифрован с помощью AES 256, потому любые средства бесполезны, ваши данные только с соответствующим ключом могут быть восстановлены. Вы могли бы данные и сами расшифровать, но на это в настоящее время по техническим меркам уйдёт 100 лет.
Потому мы хотим попросить небольшую разовую плату за ключ дешифрования. Если вы согласны с этим предложением, то мы хотим вас поскорее осчастливить, потому что наше интернет-хранилище ограничено по размерам и, как это не прискорбно, вскоре мы будем вынуждены удалить данные.
Отправьте 0,1 Bitcoin на следующий Bitcoin-адрес, чтобы получить ключ дешифрования. После получения оплаты мы пришлем вам 
Transaktions ID, который нужно вставить в текстовом поле и нажать кнопку Decrypt (Дешифровать).

По данным специалистов Fortinet, которые обнаружили частично недоделанный функционал, этот криптовымогатель скорее всего был выпущен в бета-варианте для изучения способности антивирусов его обнаруживать. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .doc, .docx, .ini, .lnk, .log, .tmp, .txt, .xls, .xlsx, .xml и другие. 

Файлы, связанные с Herbst Ransomware:
Encrypted.html
Kryptolocker.exe
C:\DOCUME~1\User\LOCALS~1\Temp\<random>.tmp
C:\Documents and Settings\User\Local Settings\Temp\<random>.tmp

Записи реестра, связанные с Herbst Ransomware:
См. ниже анализы

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Manalyzer анализ >>

Степень распространённости: очень низкая. 
Подробные сведения собираются.

суббота, 4 июня 2016 г.

WonderCrypter

WonderCrypter Ransomware

YouGotHacked Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп в биткоинах. 

Зашифрованные файлы получают расширение .h3ll

В этом расширении скрыто английское слово "hell" (ад). Название вымогателя "WonderCrypter" переводится с английского как "Чудо-Криптер". 

  Второе название YouGotHacked ("Вы взломаны") принято некоторыми исследователями. Malware-аналитики отмечают, что этот крипто-вымогатель шифрует только первые 64 Кб файлов с использованием сильного алгоритма шифрования.

© Генеалогия: Bitmessage > WonderCrypter 

  Записка с требованием выкупа и инструкциями называется YOUGOTHACKED.TXT (перевод "Вы взломаны"). Для связи с вымогателями нужно использовать мессенджер BitMessenger. 
  Второй файл под названием SECRETISHIDINGHEREINSIDE.KEY (перевод "Секрет скрыт внутри") зашифрован с помощью AES-шифрования, и вероятно содержит ключ дешифровки. Обои на Рабочем столе заменяются на изображение с текстом выкупа. 

Содержание записки о выкупе: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance.
If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you.
If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger,
because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to hxxp://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-2cWJRWHSUdPqW66nRRV4BGTEVe1NKWPiZ3

SUBJECT: name of your PC or your IP address or both.
MESSAGE: Hi, I am ready to pay.
Click Send button. You are done. 

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer 

at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and 
follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки на русский язык: 
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если вы хотите вернуть файлы обратно, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем.
Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-2cWJRWHSUdPqW66nRRVxxxxxxxxxxxxxxx

SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.


Примечательно, что содержание записки о выкупе один в один, как у Bitmessage Ransomware. Вероятно, что за этим стоит одна и та же группа вымогателей. 

Распространяется с помощью вредоносных вложений в email-спам (макросы с документах Word, фальшивые PDF-документы и пр.). 

Попав на компьютер, вредонос оседает в одной из следующих директорий как временный файл с числовым именем, например, 123.temp: 
%Temp% (наиболее вероятный путь)
%AppData%
%Roaming%
%Windows%

Шифруются все пользовательские файлы (документы, изображения, аудио, видео и пр.) на всех подключенных локальных и внешних дисках. 

Степень распространенности: низкая.
Подробные сведения собираются. 

Protected

Protected Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует выкуп в 0,5 биткоинов. К зашифрованным файлам добавляется расширение .protected

Записка с требованием выкупа называется HOW_TO_RESTORE_YOUR_DATA.html 

Содержание записки о выкупе: 
What happened to your files 
All of your data has been encrypted with CryptoWall 3.0
What does this mean?
The data within your files has been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
Decrypting of your files is only possible with the help of the private key and the decription tool, which is available for a small fee.
What do I do?
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
If you remove this program your data will NOT be decrypted, additionally you will loose the opportunity to ever decrypt your files.
How do I decrypt my files?
To receive the decryption tool and the associated decryption key, you will have to pay a fee of 0.5 BTC (Bitcoin) which is equivalent to around $200.
The fee has to be paid within 7 days. If you fail to pay the fee in time, the decyption key will be destroyed and you will loose your files forever!
How do I get Bitcoin?
There's several ways to buy Bitcoin, please have a read through one or multiple of the following guides:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Please note: Most of these guides will tell you to create a Bitcoin wallet. You can skip this step and use the provided Bitcoin wallet adress below.
You can copy and paste these links into your browser to open the sites.
The fastest way to buy Bitcoin is to use an Bitcoin ATM, Bitcoin ATM's can be found all over the world, a list / map of Bitcoin ATM's can be found here: xxxx://www.coindesk.com/bitcoin-atm-map/
On some systems this page may take a while to load, please be patient.
When using a Bitcoin ATM we will receive the payment instantly and thus, your files can be decrypted as soon as today!
Where to send the payment to?
Your personal Bitcoin wallet adress: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Please use only this wallet adress when making the payment of 0.5 BTC
What happens after the payment?
After you have made the payment, please click the check payment button below. After successful receipt of payment you will receive the decryption tool and associated decryption key.
Button "Check Payment"
Thanks, have a lovely day.

Перевод на русский язык:
Что случилось с вашими файлами
Все ваши данные были зашифрованы с CryptoWall 3.0
Что это значит ?
Данные в файлах были сильно изменены, вы не сможете работать с ними, читать или видеть их, это как потерять их навсегда, но с нашей помощью вы можете восстановить их.
Дешифровка файлов возможна только с помощью секретного ключа и декриптера, который доступен за небольшую плату.
Что мне делать?
Если вы правда цените ваши данные, то мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Если вы удалите эту программу ваши данные не будут расшифрованы, и вы потеряете возможность их дешифровать.
Как дешифровать мои файлы?
Для того, чтобы получить декриптер и связанный с ним ключ дешифровки, вам нужно заплатить выкуп в 0,5 BTC (Bitcoin), который сейчас эквивалентен $ 200.
Выкуп нужно оплатить за 7 дней. Если вы не можете оплатить его вовремя, ключ дешифровки будет уничтожен, и вы потеряете файлы навсегда!
Как получить Bitcoin?
Есть несколько способов, чтобы купить Bitcoin, прочтите одно или несколько этих руководств:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Обратите внимание: В этих руководствах рассказывается как создать Bitcoin-кошелек. Вы можете пропустить этот шаг и использовать предоставленный ниже Bitcoin-адрес.
Вы можете скопировать и вставить эти ссылки в адресную строку браузера, чтобы открыть сайты.
Самый быстрый способ купить Bitcoin — использовать Bitcoin ATM, Bitcoin-банкоматы можно найти во всем мире, список Bitcoin банкоматов можно найти здесь: http://www.coindesk.com/bitcoin-atm-map /
На некоторых системах эта страница может долго загружаться, будьте терпеливы.
При использовании Bitcoin-банкомата мы получим оплату немедленно и, так ваши файлы будут расшифрованы сегодня же!
Где отправить платеж?
Ваш персональный Bitcoin-адрес для оплаты: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Пожалуйста, используйте только этот адрес при совершении платежа в размере 0,5 BTC
Что происходит после оплаты?
После того как вы сделали оплату, нажмите на кнопку подтверждения оплаты ниже. После успешного получения оплаты вы получите инструмент для расшифровки и связанного с ним ключа дешифрования.
Кнопка "Check Payment"
Спасибо и прекрасного дня.

Степень распространенности: низкая.
Подробные сведения собираются.

Обновление от 29 ноября 2016:
Файлы: TraxxioSetup.exe
Расширение: .protected 

Результаты анализов: VT

JuicyLemon

JuicyLemon Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные, а затем требует выкуп, который сообщается индивидуально по контактам связи. Ориентировочно 1000 € (евро) с выплатой в биткоинах. 

© Genealogy: JuicyLemon > PizzaCrypts

К зашифрованным файлам добавляется расширение, включающее ID жертвы, по схеме: .id-[девять цифр]_. Пример, .id-778215456_

Полностью:
.id-[9_digits_victim’s_ID]_email1_support@juicylemon.biz_email2_provectus@protenmail.com_BitMessage_BM-[BM-address]

Зашифрованные файлы получают в код строку следующего вида: 
1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F, где с легкостью угадываются два email и BM-адрес. 

 Шифруются только пользовательские данные. Системные и программные файлы не трогаются. Также, как у Chimera Ransomware и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

Записка с требованием выкупа называется RESTORE FILES.txt

Содержание записки о выкупе: 
Hello! We inform you that all, absolutely all of your files are encrypted!
But do not despair. Decryption is not possible without our help, our help is not free and costs a certain amount of money.
To begin the process of recovery your files you need to write us an email, attaching an example of an encrypted file.
- Our contacts for communication:
- Primary email: support@juicylemon.biz
- Additional email: provectus@protonmail.com
- Bitmessage:  BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
How To Use Bitmessage see https://youtu.be/ndqIffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
Do not try to decrypt files by third-party decoders otherwise you will spoil files !
Be adequate in dealing with us and we will solve your problem.

Перевод записки на русский язык:
Привет! Сообщаем Вам, что все, абсолютно все ваши файлы зашифрованы!
Но не отчаивайтесь. Дешифровка невозможна без нашей помощи, наша помощь небесплатна и стоит некоторую сумму денег.
Чтобы начать процесс восстановления файлов, надо написать нам на email, приложить 1 зашифрованный файл.
- Наши контакты для связи:
- Первый email: support@juicylemon.biz
- Второй email: provectus@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Как использовать Bitmessage см. https://youtu.be/ndqIffqCMaM
Мы рекомендуем Вам связаться с нами по всем трём контактам!
- Очень важно:
Не пытайтесь дешифровать файлы с помощью сторонних декодеров, иначе вы испортите файлы!
Будьте адекватны в общении с нами и мы решим вашу проблему.

Ответное письмо вымогателей:
Hello! The cost of the decoder for you is 1000 (€) euro in bitcoins, for a guarantee of existence the recovery program at us you can send the test file for decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.

Перевод письма на русский язык:
Привет! Цена декодера для вас 1000 (€) евро в Bitcoin, для гарантии существования у нас программы восстановления пришлите нам 1 зашифрованный файл, после его дешифровки мы вышлем Вам реквизиты для оплаты декодера, а после оплаты инструкцию по дешифровке и декодер.

Список файловых расширений, НЕ подвергающихся шифрованию: 
 .acm .ade .adp .app .asa .asp .aspx .ax .bas .bat .bin .boo .acm .bootmgr .cer .chm .clb .cmd .cnt .cnv .com .cpl .cpx .crt .csh .dll .drv .dtd .exe .fxp .grp .h1s .hlp .hta .ime .inf .ini .ins .isp .its .js .jse  .ksh .lnk .mad .maf .mag .mam .man .maq .mar .mas .sys

Шифровальщик не шифрует файлы со следующими именами, находящие в корне системного диска:
boot.ini
bootmgr
BOOTNXT
BOOTSECT.BAK
Bootfont.bin
NTDETECT.COM
ntldr
NTUSER.DAT
PDOXUSRS.NET

В продуктах Symantec называется Trojan.Ransomcrypt.BB >>

Обновление от 10 июля 2016
Новое расширение: .id-[10_digits_victim’s_ID]_sos@juicylemon.biz

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 2 июня 2016 г.

SilentShade

SilentShade Ransomware 

(BlackShades Crypter) 

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA-4096), а затем требует выкуп в 0.07 BTC ($30), чтобы вернуть файлы обратно. Срок уплаты выкупа - 96 часов. Зашифрованные файлы получают расширение .silent. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  SilentShade удаляет теневые копии файлов,  добавляет себя в автозагрузку Windows, отключает диспетчер задач и восстановление системы. Может работать как процесс "win.exe". Может распространяться как поддельное видео, поддельные краки и патчи. 

  Записки с требованием выкупа называются   Hacked_Read_me_to_decrypt_files.Html и Hacked.txt. Также создаются и размещаются в папках с зашифрованными данными файлы "YourID.txt" и "Ваш идентификатор", содержащие ID жертвы, который затем нужно предоставить вымогателям. В записке о выкупе создатели криптовымогателя именуют его BlackShades Crypter. Отсюда второе название в заголовке статьи. 
 
1-й вариант HTML-записки
2-й вариант HTML-записки
Записка Hacked.txt

Примечательно, что получены два варианта html-записки о выкупе. Порядок текста немного отличается, но суть та же. 

Оригинальное двуязычное содержание 1-го варианта записки о выкупе: 

You have been struck with Black Shades
All of your files were protected by a strong encryption with RSA-4096

What is RSA-4096?
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Your files will be enqrypted for your life So Dont Wait so long To Restore your files Because YOU CANNOT!!
You Need to Folow One of this Steps:
- Visit this website > http://daftoraytg.com/ and folow the steps to decrypt your files
- Send 30$ = 0.0700 Bitcoin to this Account > 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx and then contact silentshades@protonmail.com ...

Why is RSA-4096 dangerous?
After RSA-4096 sneaks into your system, without you even realizing it, it goes to work.
It begins the encryption process and cloaks everything you have stored on your computer. Every file, every photo, every video, music, documents, nothing, is safe.
The infection encrypts everything. You still see it, but you cannot open it. That’s its play. It keeps it right in your reach but doesn’t allow you to access it.

Please note:
- 100% you will have your all files Back ) if you will follow the steps 1 or 2
- After (96) hours the key to decrypt your files will be deleted from our database
After you finshed 1 of your steps open the decrypter porgram and restore your all files wich we will sended to you after our deal
- You can find the ID Detals in [/Desktop or /Downloads or /Documents] folder.
===========================

Ваш компьютер поражен Black Shades
Все файлы были зашифрованы с сильным шифрованием RSA-4096.

Что такое RSA-4096?
Более подробную информацию о даннном типе шифрования с использованием RSA-4096 можно найти здесь: https://ru.wikipedia.org/wiki/RSA
Ваши файлы будут зашифрованы для вашей жизни Так что не так долго ждать
чтобы восстановить ваши файлы вам нужно сделать следующее >
- Посетите этот сайт http://daftoraytg.com/  Для дешифрования файлов
- отправить 30 $ = 0,0700 Bitcoin на этот Счет >> 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx, а затем свяжитесь по этому адресу silentshades@protonmail.com

Почему RSA-4096 опасно?
После того, как RSA-4096 пробирается в вашу систему начинается процесс шифрования и маскирует все, что вы сохранили на вашем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы вирус шифрует все кроме системных файлов. вы не можете открыть или восстановить ваши данные! Он держит их в вашей досягаемости, но не позволяет получить к ним доступа.

ПРИМЕЧАНИЕ
- 100% вы будете иметь все ваши файлы обратно, если вы выполните 1 или 2 условие
- В течении (96) часов ключи для расшифровки файлов будут удалены из нашей базы данных
- После того как вы сделали то что от вас требуется, Откройте Decrypter его вы получите на указанном выше сайте. после вам нужно вставить свой id и порграмма восстановит все файлы
- ID Подробности (вы найдете его на [/ Desktop или / Загрузка или / Documents] )
============================

Оригинальное содержание так называемого "русского" текста записки сохранено полностью. 
Делегирование домена daftoraytg.com, указанного в тексте о выкупе, уже приостановлено. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .7z, .aac, .AAC, .ach, .ai, .apk, .ar, .arw, .asf, .asp, .asx, .avi, .AVI, .back, .bak, .bay, .bz2, .c, .cdr, .cer, .cpp, .cr2, .crt, .crw, .cs, .cs, .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, .iif, .indd, .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .mrw, .msg, .myo, .nd, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .PC1, .PC2, .PC3, .pct, .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx (всего 195 расширений). 

Перед запуском процесса шифрования BlackShades определяет IP-адрес пользователя, обращаясь к сайту http://icanhazip.com, а чтобы проверить соединение с Интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно отредактировать файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если криптовымогатель не сможет соединиться с icanhazip.com, то аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа это шифровальщика прервется, не успев начаться.

Файлы, связанные с BlackShades Crypter Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hacked_Read_me_to_decrypt_files.Html
%UserProfile%\AppData\Roaming\Windows\win.exe
YourID.txt
Ваш идентификатор
Hacked_Read_me_to_decrypt_files.Html

Записи реестра, связанные с BlackShades Crypter Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Driver"="%UserProfile%\AppData\Roaming\Windows\win.exe" /autostart"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize "DisableSR" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

UltraCrypter

UltraCrypter Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью ключа RSA-4096 (алгоритм шифрования AES-256, CBC-режим), а затем требует выкуп в 1.2 биткоина за дешифровщик UltraDeCrypter. Если выкуп не уплачен в отведённое время (96 часов), то его сумма удваивается до 2.4 BTC. К зашифрованным файлам добавляется расширение .cryp1

© Генеалогия: CryptXXXUltraCrypter 

  UltraCrypter является по сути обновлённой версией CryptXXX, потому почти идентичен. Вымогатели предлагают дешифровать один файл бесплатно, чтобы доказать реальность дешифровки файлов. 

  После успешного шифрования UltraCrypter создаёт три файла с текстом о выкупе: 
bmp-файл - изображение с текстом, заменяет собой обои Рабочего стола; 
txt-файл и html-файл - записки о выкупе с одинаковым названием [Victim’s personal ID] (персональный ID жертвы). 

  Эти файлы расположены в каждой папке с зашифрованными файлами, а также в папке автозагрузки пользователя, чтобы отображаться всякий раз при входе пользователя в систему. Файлы содержат информацию о том, как получить доступ к платёжному сайту и получить файлы обратно.



  Распространяется через email-спам с вредоносным вложением или ссылками на заражённые веб-сайты с набором эксплойтов Angler. Заголовок письма призван обмануть получателя и открыть письмо якобы от судоходной компании DHL или FedEx. Излишне любопытные и неосторожные получатели торопятся открыть письмо, а потом и прикреплённый файл или перейти по ссылке на вредоносный сайт. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptXXX)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 30 мая 2016 г.

LeChiffre

LeChiffre Ransomware

Variants: LeChiffre 2016-2020

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр". Известен с июня 2015 года. Главным образом ориентирован на сервера и компании. 

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

LeChiffre Ransomware шифровальщик, шифратор

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.

После его запуска открывается следующее окно с русскоязычными надписями. 

LeChiffre Ransomware шифровальщик, шифратор

Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Технические детали

Может распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

✋ LeChiffre Ransomware ориентирован на сервера и компании, поэтому необходимо использовать именно серверную и комплексную защиту. Бесплатный антивирус или средство защиты для домашних компьютеров НЕ ЗАЩИТЯТ ВАШ СЕРВЕР И КОМПАНИЮ. 


Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, .png, ... .rar, ... .xls, .xls, .zip

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, серверные элементы управления HTML и пр.

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Степень распространенности: средняя.
Подробные сведения собираются. 




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt



Обновление от 18 сентября 2016:
Расширение: .LeChiffre

Обновление от 30 октября 2016:
Топик на форуме >>
Расширение: .LeChiffre
Записка: _how to decodeMX.txt
E-mail: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:

qxKKjMa5gceDlbtVY3fFsp0q*** [всего 172 знака]
==================
end of secret_key
Hello. 
Your some files were encrypted with the strongest cipher RSA 1024 and AES.
No one will help you to restore files without our decoder. Any programs for
recovering files or disk repair are useless and can destroy your files
irreversibly. Irreversibly. So don't try to decrypt it yourself. We warned you.
There is only one way to restore your files - send e-mail to lechiffre@india.com
with attached file "_how to decode[MX].txt" (you read this file right now).
To test our honesty you can send an one encrypted file less than 4 MB (not zipped)
as *.doc *.xls *.jpg *.pdf, but not database file or backup file 
(*.900 *.001 *.db *.zip *.rar *.bkp etc).
We will decode your sample for free.
You will receive deciphered sample and our conditions how you will get the
decoder. Follow the instructions to send the payment. Be attentive! The decoder
for each server is paid separately.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you
can get the password for free after 6 month wait.
Just send a request immediately after infection and download the decoder.
All data will be restored absolutely. 
Our guarantee of honesty - your deciphered sample. 
E-mail: lechiffre@india.com
E-mail: lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 6 января 2017:
Расширение: .LeChiffre
Записка: _how to decode[VIVASBSSERVER].txt
Email: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор




Обновление от 9 июня 2020: 
Расширение: .QLZWVR_LeChiffre
Записка: QLZWVR_LeChiffre_ReadMe.txt
Telegram: @isres
https://t.me/isres
Email: lechiffre@firemail.cc, lechiffre@mailchuck.com
Bitmessage: BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:
hello.
to recover your files, send any message to:
telegram  messenger: 
https://t.me/isres
@isres
or
email: 
lechiffre@firemail.cc
reserve method of communication:
email:
lechiffre@mailchuck.com
usually the answer is 1-10min. If there is no answer,
check the spam folder or write from another email where there is no spam filtering.
super reserve method of communication:
bitmessage messenger: 
BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65
download the messenger: https://bitmessage.org/wiki/Main_Page
in the response, you will receive instructions.
Have a nice day!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LeChiffre)
 Write-up, Topic of Support
 ***
Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать Emsisoft Decryptor for LeChiffre можно по этой ссылке >>
Он работает только с файлами, зашифрованными до его выпуска. 
По новым случаям шифрования, пишите на форум Emsisoft >>

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *