Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 24 июля 2016 г.

Moth

Moth Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп BTC, чтобы вернуть файлы обратно. 

Зашифрованные файлы получают расширение: .m0th

© Генеалогия: Bitmessage (Ungluk) > Moth 


Записка с требованием выкупа READMEPLEASE.TXT

Содержание записки о выкупе:
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.

Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.

Click Send button.
You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод на русский:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.

Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет cгенерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.

Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.




Технические детали

Распространяется с помощью email-спама и вредоносных вложений (скрипты, макросы и пр.), ссылок на зараженные эксплойтами сайты. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию: 

png .psd .pspimage .tga .thm .tif .tiff .yuv .ai .eps .ps .svg .indd .pct .pdf .xlr .xls .xlsx .accdb .db .dbf .mdb .pdb .sql .apk .app .bat .cgi .com .exe .gadget .jar .pif .wsf .dem .gam .nes .rom .sav cad files .dwg .dxf gis files .gpx .kml .kmz .asp .aspx .cer .cfm .csr .css .htm .html .js .jsp .php .rss .xhtml. doc .docx .log .msg .odt .pages .rtf .tex .txt .wpd .wps .csv .dat .ged .key .keychain .pps .ppt .pptx ..ini .prf encoded files .hqx .mim .uue .7z .cbr .deb .gz .pkg .rar .rpm .sitx .tar.gz .zip .zipx .bin .cue .dmg .iso .mdf .toast .vcd sdf .tar .tax2014 .tax2015 .vcf .xml audio files .aif .iff .m3u .m4a .mid .mp3 .mpa .wav .wma video files .3g2 .3gp .asf .avi .flv .m4v .mov .mp4 .mpg .rm .srt .swf .vob .wmv 3d .3dm .3ds .max .obj r.bmp .dds .gif .jpg ..crx .plugin .fnt .fon .otf .ttf .cab .cpl .cur .deskthemepack .dll .dmp .drv .icns .ico .lnk .sys .cfg (155 расширений). 

Файлы, связанные с Ransomware: 
READMEPLEASE.TXT
<random>.exe

Записи реестра, связанные с Ransomware: 
***

Степень распространенности: низкая.
Подробные сведения собираются. 

суббота, 23 июля 2016 г.

CryptoLocker 5.1

CryptoLocker 5.1 Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 250 евро, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> CryptoLocker 5.1

К зашифрованным файлам добавляется расширение .locked

 Название дано разработчиками, видимо с целью запугать своих жертв известным вымогателем CryptoLocker. Некоторое время ошибочно назывался CryptoWall 5.1. На самом деле этот крипто-вымогатель основан на крипто-конструкторе HiddenTear. 

Ориентирован на итальяноязычных пользователей. 



 Содержание текста с экрана блокировки: 


Il tuo computer è stato infettato da Cryptolocker
Cryptolocker è un malware appartenente alla famiglia dei ransomware.
Questo virus è in grado di criptare con algoritmi asimmetrici i file della vittima.
Wikipedia: https://it.wikipedia.org/wiki/CryptoLocker

Come faccio a ripristinare i miei documenti?
I tuoi documenti, foto, dati e altri file importanti (compresi usb, hard disk, percorsi di rete etc. ) sono stati criptati con un algoritmo asimmetrico a due chiavi, pubblica e privata.
Tutti i file sopra citati che hanno l'estensione .locked sono stati bloccati, per sbloccarli hai bisogno della chiave privata.

Come ottengo la chiave privata?
Mentre la chiave pubblica и stata salvata in una directory di sistema del tuo computer, quella privata и stata inviata sul nostro server, per ottenerla devi pagare la cifra di 250 €.
Appena l'importo sarà accreditato tramite uno dei metodi di pagamento riceverai tramite mail la chiave privata e potrai cosм riavere accesso ai tuoi dati.
In caso contrario al termine delle 48h previste per il pagamento del riscatto la chiave privata verrà eliminata e non sarà più possibile recuperare i file.

ATTENZIONE: La rimozione di Cryptolocker non ripristina l'accesso ai file cittografati.
Contaсt: cryptolocker51@sigaint.org


 Перевод текста на русский язык: 

Ваш компьютер заражен Cryptolocker
Cryptolocker это вредоносная программа из семейства вымогателей
Этот вирус способен шифровать файлы жертвы асимметричным алгоритмом.
Wikipedia: https://it.wikipedia.org/wiki/CryptoLocker

Как восстановить мои файлы?
Ваши документы, фото, данные и другие важные файлы (включая USB, жесткие диски, сетевые и пр.) были зашифрованы с асимметричным алгоритмом с двумя ключами, открытым и закрытым.
Все файлы, упомянутые выше, имеющие расширение .locked были заблокированы, нужен закрытый ключ для разблокировки.

Как я могу получить закрытый ключ?
В то время как открытые ключи были сохранены в директории вашей системы, закрытый переправлен на наш сервер, чтобы получить его вы должны заплатить 250 €.
Когда сумма будет перечислена одним из способов оплаты, вы получите по почте закрытый ключ и сможете получить доступ к вашим данным.

В противном случае через 48 часов, отведенных для уплаты выкупа закрытый ключ будет удалён, и вы не сможете вернуть ваши файлы.

ВНИМАНИЕ: Удаление Cryptolocker не восстанавливает доступ к зашифрованным файлам. 
Контакт: cryptolocker51@sigaint.org



Технические детали

Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
***
 Файлы, связанные с CryptoLocker 5.1 Ransomware: 
***
 Записи реестра, связанные с CryptoLocker 5.1 Ransomware: 
***

Обновление от 5 сентября 2016:
Новая сумма выкупа: 130 
Обновленный экран блокировки:



 Степень распространённости: низкая. 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 июля 2016 г.

PayForNature

PayForNature Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью RSA-1024. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. 

К зашифрованным файлам добавляется расширение, созданное по шаблону .id-[string of characters].{payfornature@india.com}.crypt
 Например, файл Audi_A4.jpeg будет преобразован в Audi_A4.jpeg.id-X671S91.{payfornature@india.com}.crypt. 

  PayForNature очень похож на Crypt38, но не оставляет записку с требованием выкупа, кроме email-контакта на конце каждого зашифрованного файла. Такой подход подразумевает, что жертвы вымогателей уже должны быть знакомы с процедурой выплаты выкупа вымогателям. 

  Распространяется с помощью email-спама с вредоносными вложениями в виде RAR, ZIP и незаархивированных DOCX-файлов, которые имеют вредоносный макрос. А также с попутными загрузками на зараженных сайтах, среди которые игровые и лотерейные. 

Степень распространенности: низкая.
Подробные сведения собираются.


Remove PayForNature Decrypt Payfornature Decode Restore files Recovery data Удалить Bandarchor Как Дешифровать Расшифровать Восстановить файлы

четверг, 21 июля 2016 г.

PowerLocky

PowerLocky Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует файлы с помощью AES-128, а затем требует выкуп в $500, эквивалентных 0.74290893 BTC, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locky

© Генеалогия: PoshCoder > Powerware > PowerLocky

  PowerLocky подражает крипто-вымогателю Locky, потому получил свое название от сложения названий вымогателей Powerware и Locky. PowerWare является продолжением PoshCoder, шифровальщика известного с 2014 года, и распространяется аналогично PoshCoder, т.е. через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell, отсюда и название PowerWare.


Remove PowerLocky Decrypt Powerware Decode Restore files Recovery data Удалить PowerLocky Как Дешифровать Расшифровать Восстановить файлы

Записка о выкупе называется _HELP_instructions.html

На TOR-сайте, который используют вымогатели, упомянут Locky Decrypter. 

Текст с экрана:
We present a special software Locky Decrypter
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?

1. Download and install Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins, the price is 500 $ / 0.74290893 BTC and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed eartier. From there, hit the "Send" tab. Send the remaining BTC (bitcoin) to this Bitcoin-wallet address: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Now submit the form below, only if you've actually sent the Bitcoins. Upon manual verification of the transaction you will receive the decrypter through email within 12 hours. ALL of your files/data will then be unlocked and decrypted automatically, HTML ransom files will also be removed.
Do NOT remove HTML ransom files or try to temper files in any way, because decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again!

Перевод на русский:
Мы представляем специальный софт Locky Decrypter
которая может дешифровать и вернуть все ваши зашифрованные файлы.
Как купить Locky Decrypter?

1. Загрузите и установите приложение Multibit. Оно создаст вам адрес на Bitcoin-кошелек. Вы его найдете во вкладке "Request". Вставьте его в поле ниже "Your BTC-address".
2. Купите биткоины на сумму $500 / 0,74290893 BTC и отправьте на адрес вашего Bitcoin-кошелека, они будут отображаться в приложении Multibit, что вы ранее установили. Оттуда нажмите на вкладку "Send". Отправьте остаток BTC (Bitcoin) на адрес Bitcoin-кошелька: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Потом заполните форму ниже, только если вы на самом деле послали биткоины. При ручной проверке сделки вы получите Decrypter по email в течение 12 часов. ВСЕ ваши файлы/данные будут автоматом разблокированы и расшифрованы, HTML-файлы о выкупе будут удалены.
Не удаляйте эти HTML-файлы и подобные файлы ни в коем случае, потому что Decrypter не будет работать.
Пожалуйста помните, это единственный способ получения доступа к вашим файлам!

Для распространения использует email-спам с вредоносным вложением, эксплуатируя возможности Microsoft Word и PowerShell, языка сценариев Microsoft Windows. 

При установке, PowerShell, расположенный по адресу %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1, извлекает исполняемый файл вымогателя и запускает его в качестве сценария. После запуска вымогатель начинает шифровать данные на всех дисках и добавлять расширение .locky к именам зашифрованных файлов. Он также создаст записку с требованием выкупа в каждой папке, в которой есть зашифрованные файлы.

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 

Детект на VirusTotal >>>


Эксперты Palo Alto создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку. Майкл Джиллеспи из BleepingComputer придал этому инструменту привычный для пользователей вид, снабдив его интерфейсом. Эта версия PowerWare получила название PowerLocky, из-за его подражание работе реального Locky. Прикрываясь названием более сложного крипто-вымогателя, злоумышленники хотят запугать жертву и принудить её заплатить выкуп как можно быстрее. 

Степень распространенности: низкая
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.


среда, 20 июля 2016 г.

CrypMIC

CrypMIC Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. 

© Генеалогия: CryptXXX (имитация) > CrypMIC

Специалисты сравнили два крипто-вымогателя по ряду признаков и считают, что у них есть относительное родство или некоторое заимствование. 

Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.
Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.
Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...
Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...
Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте



Сравнение CrypMIC и CryptoXXX

CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.
Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)


Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC

Новый детект на VirusTotal >>
Ссылка на MTA >>
Топик поддержки на BC >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 сентября 2018:
Посты в Твиттере >>
Скриншоты записок:




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CrypMIC )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov, Marcelo Rivero, GrujaRS
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

HolyCrypt

HolyCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES и требует уплатить выкуп, чтобы получить секретный ключ дешифрования и вернуть файлы обратно. Срок уплаты выкупа подозрительно короткий, всего 24 часа. Вымогатель известен с мая 2016. HolyCrypt написан на Python и является 64-битным Ransomware. Название получил от встроенного сценария holycrypt-v0.3.py.


Remove HolyCrypt Decrypt HolyCrypt Decode Restore files Recovery data Удалить HolyCrypt Дешифровать Расшифровать Восстановить файлы

К зашифрованным файлам добавляется приставка (encrypted). Пример на картинке. 

Записка о выкупе: 
Attention!!! To restore information email technical support send 3 encrypted files HolyCrypt@aol.com

Синхронный перевод на русский:
Внимание!!! Для возврата информации почта технической поддержки отправить 3 зашифрованных файла HolyCrypt@aol.com

Да, какой-то несвязный текст. 

  Полное вымогательское сообщение написано на скринлоке — изображении alert.jpg, встающем обоями рабочего стола. 

Содержание текста с изображения: 
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
The server will eliminate the key after 24h.
Open http://test_ransonware.onion.link and follow the instruction for the payment

Обратите внимание в тексте есть опечатка - слово ypur, вместо your. 

Перевод на русский язык: 
Ваш компьютер заблокирован!
Ваши документы, фото, базы данных и другие важные файлы заблокированы сильным шифрованием и уникальным ключом, созданным для этого компьютера. Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не расшифрует ypur [ваши] файлы, пока не оплатите и не получите секретный ключ.
Сервер уничтожит ключ через 24 часа.
Откройте http://test_ransonware.onion.link и следуйте инструкциям для оплаты

Шифровальщик шифрует только файлы, находящиеся в директории %USERPROFILE% 

Список файловых расширений, подвергающихся шифрованию:
.3gp, .aac, .aiff, .ape, .asp, .aspx, .avi, .bmp, .csv, .db, .dbf, .doc, .docx, .epub, .flac, .flv, .gif, .html, .iso, .jpeg, .jpg, .json, .m4a, .m4v, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odp, .ods, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .raw, .rtf, .sln, .sql, .svg, .swf, .tex, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .yaml, .yml (58 расширений). В разных версиях возможны отличия. 

Детект на VirusTotal >>>

Файлы можно дешифровать без уплаты выкупа. 

Степень распространенности: пока не определена
Подробные сведения собираются. 

вторник, 19 июля 2016 г.

Cute, my-Little

Cute Ransomware

cuteRansomware

my-Little-Ransomware

(шифровальщик-вымогатель)

   В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github

  Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных. 

В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).

  Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок. 

  Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs". 

  Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.


Добавление от 21 июля 2016
Один из китайских вариантов
Расширение: .cke
Записка о выкупе: 文件加密警告warning.txt (File Encryption Warning)


Китайский текст:
由于您曾经使用了盗版软件,您的大部分文件暂时被AES-128加密:office文件,图片,文本文档,数据库等。需要支付软件版权费用才能恢复所有文件。请联系邮箱imugf@outlook.com支付版权费。
说明:1.不要删除桌面上任何文件!否则永远无法恢复被加密的文件。2.AES-128是高级加密标准,拥有极佳的安全性,除了我们没有任何人能恢复所有文件。

Английский текст:
Warning: Since you have used pirated software, most of your files have been encrypted by AES-128: office files, images, text files, databases, etc.. You must pay software copyright fees to recover all the files. Please contact email imugf@outlook.com to pay copyright fees.
Note: 1. Do not delete any files on the desktop! Otherwise, you can never recover the encrypted files. 
2. AES-128 is advanced encryption standard, with excellent security, in addition to our no one can recover all the files.

Перевод на русский:
Внимание: Раз вы использовали пиратский софт, многие ваши файлы были зашифрованы с AES-128: офисные файлы, изображения, текстовые файлы, базы данных и т.д. Вы должны оплатить сбор за копирайт софта, чтобы вернуть все файлы. Пишите нам на imugf@outlook.com для оплаты сбора.
Важно: 1. Не удаляйте файлы на рабочем столе! Иначе вы не вернете зашифрованные файлы.
2. AES-128 передовой стандарт шифрования, с отличной безопасностью, потому никто не вернет вам все файлы.

Файлы, связанные с Cute Ransomware:
Ransomware.exe
文件加密警告warning.txt

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя и перспективно высокая. 
Подробные сведения собираются. 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 июля 2016 г.

JackPot

JackPot Ransomware

JackPot 1.0.0.1 Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы, хотя никакой контакт для связи не указан. Оригинальное название: jack.pot. На файле написано: RansomWare.exe. Версия: 1.0.0.1. 

© Генеалогия: JackPot (1.0.0.1) > Jackpot (3.0.0.2)

К зашифрованным файлам добавляется расширение .coin

Обрназец этого крипто-вымогателя был обнаружен в июле и октябре 2016 г., хотя в "дикой природе" был с 14 марта 2016. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает изображение, встающее обоями Рабочего стола. 

Содержание записки о выкупе:
***jack.pot***
All your important files are encrypted.
To decrypt your files, pay 3.0 BTC ~ = 830 USD to the Bitcoin address:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4

Перевод записки на русский язык:
***jack.pot***
Все твои важные файлы зашифрованы.
За расшифровку файлов плати 3.0 BTC ~ = 830 дол. на Bitcoin-адрес:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4

---
Примечательно, что указанный вымогателями адрес относится к криптовалюте LiteCoin, а не Bitcoin. Еще примечательно, что вымогатели даже не указали контактного email-а. Это говорит о том, что их цель — только получение денег. Ни о какой дешифровке и возвращении данных не стоит и мечтать. Кроме того, возможен тестовый вариант. 


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Список файловых расширений, подвергающихся шифрованию:
популярные форматы файлов. 

Файлы, связанные с JackPot Ransomware:
RansomWare.exe

Записи реестра, связанные с JackPot Ransomware:
См. ниже в гибридном анализе. 

Сетевые подключения:
52.58.55.93:80

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.


 Read to links: 
 Tweet on Twitter
 Litecoin and Bitcoin?
 TrendMicro blog
 Thanks: 
 Karsten Hahn, TrendMicro
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 15 июля 2016 г.

Stampado

Stampado Ransomware

(шифровальщик-вымогатель, RaaS)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Срок уплаты выкупа — 96 часов. Иначе каждые 6 часов будет удаляться по одному случайным образом выбранному зашифрованному файлу. Вымогатели предлагают для связи email-адрес, на него надо прислать 1 зашифрованный файл, который они могут расшифровать в качестве гарантии, а затем прислать пользователю инструкции по оплате. 

Stampado написан на языке сценариев AutoIT и, по мнению специалистов, так коряво, что говорит о малоопытности разработчиков-вымогателей. 

Этимология названия: от итальянского "stampa do" - "напечатать, сделать печать", а также "надавить". Последнее значение в вымогательстве ближе к истине. 

Зашифрованные файлы получают расширение .locked

Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado". 


Содержание на английском:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted The faster you are. the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by teste@email.com
As a proof, you can send one encrypted file so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
--- Next Russian Rollette file deletion:
5 hours, 47 minutes and 59 seconds
--- Time until total loss:
3 days, 23 hours, 47 minutes and 59 seconds


Перевод на русский:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все документы (базы данных, тексты, изображения, видео, музыка и пр.) зашифрованы. Это сделано с секретным ключом, хранимым на нашем сервере.
Для дешифровки файлов вам нужно купить у нас секретный ключ. Мы единственные на Земле, кто может это сделать.
Заметьте, каждые 6 часов будет удаляться 1 случайный файл. Торопитесь, чтобы не потерять их.
Через 96 часов ключ будет удален окончательно и восстановить файлы будет невозможно.
Что я могу сделать?
Напишите нам на email, указав свой ID (ниже) и ждите от нас инструкции.
Контакт по teste@email.com
На пробу пришлите 1 зашифрованный файл, мы вернем его дешифрованным. Это гарантия возможности дешифровки файлов.
--- Русская рулетка удалит файл через:
5 часов, 47 минут и 59 секунд
--- Время до полной потери:
3 дня, 23 часа, 47 минут и 59 секунд

Список файловых расширений, подвергающихся шифрованию:   .001, .001, .3fr, .7z, .accdb, .ai, .aiml, .ani, .apk, .arch00, .arw, .asset, .au3, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cdr, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmg,  .dmp, .dng, .doc, .docx, .docm, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hplg, .html, .hvpl, .ibank, .ico, .indd, .itl, .itdb, .icxs, .itm, .iwd, .iwi, .jpg, .jpeg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf,  .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .orf, .p12, .p7b, .p7c, .pak, .pas, .pc, .pdd, .psd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .ppt, .pptx, .pptm, .ppsx, .pps, .ps, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .hkx, .rtf, .rw2, .rwl,  .sav, .sb, .sc2save, .sidn, .sidd, .sie, .sis, .sid, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t13, .t12, .tax, .tor, .txt, .unity3d,.upk, .vdf, .vfs0, .vpk, .vpp, .vtf, .w3x, .wav, .wma, .wmv, .wb2, .wmo, .wotreplay, .wpd, .wps,.x3f, .xf, .xlk, .xlsb, .xlsm, .xls, .xlsx, .xml, .skp, .xxx, .zip, .ztmp (211 расширений).


Технические детали

  Stampado распространяется главным образом в Дарквебе: продается всего за $39 (~2500 рублей). Благодаря такой относительно низкой среди киберкриминала цене (другие стоят от нескольких сотен до тысяч долларов, например, Locky продавался за $3000, а Goliath за $2100), приобрести его могут немало желающих стать вымогателем. Покупка обеспечивает пожизненную лицензию. Стартовая цена выкупа 1BTC, покупатель может её изменитьНизкая цена вымогателя говорит о малоопытности злоумышленников, которые только набирают очки. Источник информации


  Разработчики загрузили видеоролик для демонстрации возможностей по шифрованию и дешифрованию. 

  Вредонос использует расширения exe, bat, dll, scr, cmd. для доставки на ПК и установки в системе. По желанию можно также использовать биндеры, пакеры и криптеры, чтобы упростить или осложнить доставку. На момент данной публикации использование Stampado в мошеннических кампаниях ещё не было обнаружено. 

Позже в записках о выкупе были замечены адреса вымогателей: 
paytodecrypt@sigaint.org
ransom64@sigaint.org
clesline212@openmailbox.org
getfiles@tutanota.com
successl@qip.ru

Детект на один из файлов на VirusTotal >>
Описание в Symantec: Ransom.Stampado >>
Описание в энциклопедии TrendMicro >>

Файлы, связанные со Stampado Ransomware: 
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe

Записи реестра, связанные со Stampado Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update %UserProfile%\AppData\Roaming\scvhost.exe

Степень распространённости: средняя
Подробные сведения собираются. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 9 сентября 2016: 
Отдельный проект вымогателей. 

Обновление от 19 сентября 2016 г. 
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft; 
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware. 

 
 С выходом этой версии разработчики Stampado обновили список расширений. В новой версии они добавили в список ещё больше целевых расширений, включив также те расширения, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Среди них такие: 
 .aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие. 

Всего более 70 расширений от других вымогателей, см. полный список на скриншоте ниже. Более того, чтобы нанести жертвам наибольший вред, в новый список расширений добавлены файлы бэкапов всех известных расширений программ резервного копирования. 



Обновление от 28 декабря 2016:
Пост в Твиттере >>
Файлы: <random>.exe, AVG_Protection_Free_1606.exe, fulvklp.bat
Фальш-имя: AVG_5Years_Antivirus_Activated_2017
---

Внимание!!!
Для зашифрованных файлов есть 2 дешифровщика:

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *