Если вы не видите здесь изображений, то используйте VPN.

вторник, 3 января 2017 г.

BTCamant

BTCamant Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название: Mission 1996. Оно же фальш-имя от одноименного фильма "Mission: Impossible" (1996).  

© Генеалогия: Radamant >> BTCamant

К зашифрованным файлам добавляется расширение .BTC

Активность этого крипто-вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible: sepas@protonmai1.com , sepast@protonmai1.com

Перевод записки на русский язык:
Привет!
Для возврата Ваших данных ПК Вам нужно связаться с нами по email как можно скорее: sepas@protonmai1.com, sepast@protonmai1.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
sepas@protonmai1.com
sepast@protonmai1.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCamant)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 2 января 2017 г.

X3M

X3M Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с шифруются с помощью AES-256 в режиме CBC, получая ключ с помощью SHA-256, а затем требует выкуп в $700, чтобы вернуть файлы. Название условное, по первому добавленному расширению.

© Генеалогия: X3M ⟺ Nemesis 
X3M GarryWeber SteaveiWalker CryptON > Cry9 > Cry128 > Cry36 ...

Схема говорит о том, что X3M и Nemesis делаются, видимо, одной командой разработчиков-вымогателей (возможно, X3M Team и/или Nemesis Team), но используются для разных целей. Для атаки на серверы компаний используется Nemesis, а семейство X3M и СryptON с другими промежуточными разработками для разных стран используется для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы. 

Возможно, что разнообразие похожих-непохожих признаков служит для того, чтобы запутать исследователей и тех, кто должен отслеживать вредоносную активность по долгу службы или по работе. 

К зашифрованным файлам добавляется одно из следующих окончаний-расширений с нижним подчеркиванием вместо точки: 
_x3m  (фактически: .id-<id>_x3m)
_r9oj  (фактически: .id-<id>_r9oj)
_locked  (фактически: .id-<id>_locked)

Пример зашифрованных файлов:
picture.png.id-2800447857_x3m
picture.png.id-2890117789_r9oj
picture.png.id-2109892288_locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записок о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «Cerber decryptor»
Data recovery requires decoder.
To obtain decryptor, please, contact me by email: server-support@india.com
The cost of the decoder: ~700 USD
Payment only Bitcoin.
Your personal identification ID: id-2650322560
---
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «x3m decryptor»
To obtain decryptor, please, contact me by email: deyscriptors1@india.com
Your personal identification ID: id-2800447857

Перевод записок на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «Cerber decryptor»
Для восстановления данных требуется декодер.
Для получения расшифровщик свяжитесь со мной по email: server-support@india.com
Стоимость декодера: ~700 USD
Оплата только биткоинами.
Ваш личный идентификационный ID: ID-2650322560
---
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «x3m decryptor»
Для получения расшифровщика свяжитесь со мной по email: deyscriptors1@india.com
Ваш личный идентификационный ID: ID-2800447857

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
server-support@india.com - уже вероятно отключен
deyscriptors1@india.com - уже вероятно отключен
x3m-pro@protonmail.com - новый email для связи!
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 марта 2017:
Пост в Твиттере >>
Записка: ### HOW TO DECRYPT FILES ###.html
Email: x3m-pro@protonmail.com  x3m@usa.com
BM: BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq
Расширение: .id-<ID>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
Результаты анализов: VT
Скриншоты записки о выкупе и скринлок на обоях см. ниже. 


Обновление от 27 апреля 2017:
Название пока не представлено. 
Записка: DECRYPT MY FILE.txt
Тема на форуме BC >> + Ещё >>
Сумма выкупа: ~0.15 BTC
Расширения для файлов: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
http://kgjzsyyfgdm4zavx.onion
Скриншоты двух текстовых записок и Tor-сайта: 
 

Примечательно, что при вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: это одна команда вымогателей. 

Обновление от 12 февраля 2020:
Пост в Твиттере >>
Расширение: .firex3m
Составное расширение: .id-1795654321_[contact-support@elude.in].firex3m
Записка: !!! DECRYPT MY FILES !!!.txt
Email: contact-support@elude.in, contactsupport@cock.li
Специальный файл temp000000.txt - содержит отчет о системе
Файл TEEWLJH3QNDSEELUT дублирует запсику о выкупе. 
Результаты анализов: VT + AR + VMR
➤ Обнаружения:
DrWeb -> Trojan.MulDrop9.9633
BitDefender -> Gen:Heur.Ransom.Imps.3
ALYac -> Trojan.Ransom.Nemesis
Avira (no cloud) -> HEUR/AGEN.1023574
ESET-NOD32 -> A Variant Of Win32/Filecoder.FP
Rising -> Ransom.Nemesis!1.B867 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.NEMISIS.SM





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать декриптер для X3M и CryptON >>
Более новые варианты не могут быть расшифрованы. 
 Read to links: 
 Topic on BC
 ID Ransomware (old ID as X3M, new ID as CryptON)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GOG

GOG Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, другое: GOG1. Разработчик: GOG. 

© Генеалогия: EDA2 >> GOG

К зашифрованным файлам добавляется расширение .L0CKED 
Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: текстовый файл DecryptFile.txt и изображение random.jpg, встающее обоями рабочего стола. 

Содержание записки о выкупе:
WARNING!!!
@ NOT YOUR LANGUAGE? USE https://translate.google.com
@ What happened to your files?
@ All of your files were protected by a strong encryption with RZA4096
@ More information about the encryption keys using RZA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ How did this happen?
@ Specially for your PC was generated personal RZA4096 Key, both publik and private.
@ ALL YOUR FILES were en-Crypted with the publik key, which has been transferred to your computer via the Internet.
@ Decrypting of your files is only possible with the help of the privatt key and de-crypt program, which is on our Secret Server
@ What do I do?
@ So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW!, and restore
your data easy way
@ If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
@ Your personal ID: Open DecryptFile.txt
@ For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html
@ If for some reasons the addresses are not available, follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - xxxx://y6wb5h3ksb6hppeh.onion/service.html
4 - Follow the instructions on the site
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Ошибки в тексте:
Я исправил лишь ошибки пунктуации, но не тронул ряд слов, которые есть в оригинале записки. Они могут послужить характерным признаком для опознания стиля вымогателей.  

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
@ НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
@ Что случилось с файлами?
@ Все ваши файлы были защищены сильным шифрованием с RZA4096
@ Более подробную информацию о ключах en-Xryption с использованием RZA4096 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ Как это произошло?
@ Специально для вашего ПК был создан персональный RZA4096 ключ, как publik и частный.
@ Все файлы были en-Crypted с помощью ключа publik, который был передан на компьютер через Интернет.
@ Дешифрование файлов возможно только с помощью ключа privatt и de-crypt программы, которая находится на нашем секретном сервере 
@ Что мне делать?
@ Есть два способа, которые вы можете выбрать: ждать чуда и получить удвоенную цену, или начать приобретать биткоины!, и восстановить ваши данные простым способом
@ Если у вас есть действительно ценные данные, то лучше не тратить свое время, потому что нет никакого другого пути, чтобы получить ваши файлы, кроме сделать оплату
@ Ваш персональный ID: откройте DecryptFile.txt
@ Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, ниже есть несколько различных адресов, указывающих на вашу страницу:
хххх://y6wb5h3ksb6hppeh.onion/service.html
хххх://y6wb5h3ksb6hppeh.onion.to/service.html
@ Если по каким-то причинам адреса недоступны, выполните следующие действия:
1 - Загрузка и установка Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустите браузер
3 - Введите в адресной строке - хххх://y6wb5h3ksb6hppeh.onion/service.html
4 - Следуйте инструкциям на сайте
Обязательно скопируйте свой личный ID и ссылку на инструкции в ваш блокнот, чтобы не потерять их.
Страница с сайта оплаты выкупа

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
GOG.exe - исполняемый файл вымогателя
\Desktop\DecryptFile.txt - записка о выкупе
random.jpg - изображение на рабочий стол

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/createkeys.php
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/savekey.php
xxxx://81.4.122.134/imagini/xok.jpg - загрузка изображения на обои
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GOG)
 Write-up
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EdgeLocker

EdgeLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 0,1 биткоинов, чтобы вернуть файлы. Название оригинальное, другое: TrojanRansom.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .edgel

Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.


Содержание текста о выкупе:
>>> Your files are encrypted by the EdgeLocker ransomware!
>>> Nobody can decrypt your files without a special RSA private key.
>>> YOU can obtain this key by purchasing it for 0.1 Bitcoin from us.
>>> Pay 0.1 BTC on the address 1LVFaPgwCFBnn5BQsSxRmEZ94nKj7tDDVA and then press "Check Payment"
>>> The payment is not recieved instantly; don't worry.
>>> Key
button "Decrypt"
button "Check Payment"
>>> Warning: do not try to kill this application or the key will be lost!
C:\Users\User\Desktop\test\49.png.edgel
С :\Users\User\Desktop\test\5.doc.edgel
С :\Users\User\Desktop\test\5.jpg.edgel
С :\Users\User\Desktop\test\5.png.edgel
С :\Users\User\Desktop\test\50.doc.edgel
>>> A total of 3905 files encrypted.

Перевод текста на русский язык:
>>> Ваши файлы зашифрованы с EdgeLocker ransomware!
>>> Никто не может расшифровать файлы без специального секретного RSA-ключа.
>>> Вы можете получить этот ключ, купив его за 0,1 Bitcoin у нас.
>>> Оплатите 0,1 BTC по адресу 1LVFaPgwCFBnn5BQsSxRmEZ94nKj7tDDVA и нажмите "Проверить Оплата"
>>> Платеж не поступит мгновенно; не волнуйтесь.
>>> Key
Кнопка "Decrypt"
Кнопка "Check Payment"
>>> Внимание: не пытайтесь убить это приложение или ключ будет потерян!
C:\Users\User\Desktop\test\49.png.edgel
С :\Users\User\Desktop\test\5.doc.edgel
С :\Users\User\Desktop\test\5.jpg.edgel
С :\Users\User\Desktop\test\5.png.edgel
С :\Users\User\Desktop\test\50.doc.edgel
>>> Всего 3905 файлов зашифровано.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
EdgeLocker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 января 2017 г.

Red Alert

Red Alert Ransomware

Red Alert HT Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название взято из изображения с требованиями выкупа. Фальш-имя: Microsoft Corporation. 

© Генеалогия: HiddenTear >> Red Alert

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: MESSAGE.txt и скринлок ransom.jpg, встающий обоями рабочего стола. 

Содержание записки о выкупе:
RED ALERT
YOUR FILES HAS BEEN BLOCKED
All Your Files Has been Blocked !!!
To you unlock the files access "MESSAGE" file and follow the instructions or we will delete ALL your personal archives.
YOUR FILES HAS BEEN BLOCKED

Перевод записки на русский язык:
КРАСНАЯ ТРЕВОГА
Ваши файлы были заблокированы
Все ваши файлы были заблокированы !!!
Для разблокировки файлов откройте файл "Message" и следуйте инструкциям, или мы будем удалить все ваши личные архивы.
Ваши файлы были заблокированы

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
\Desktop\MESSAGE.txt
\Desktop\nouaISJakoKASasdij.txt
\Desktop\wiASJiAjsKOQWEKnsyass.txt
\Desktop\ransom.jpg
Microsoft-Corporation.exe
NFS-e 1025-7152.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 JaromirHorejsi
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

First

First Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1,5 биткоина, чтобы вернуть файлы. Название оригинальное. Среда разработки: Visual Studio 2015. Разработчик: Dark Repulser.

© Генеалогия: HiddenTear >> First Ransomware

К зашифрованным файлам добавляется расширение .locked

Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Death Bitches". Есть еще записка о выкупе READ_IT.txt с тем же текстом. 

Содержание текста о выкупе:
You have achieved something
You just got my little brand new ransomware
button 'Checkout payment options'
button 'PAY'
Anyways, lets talk about your files and PC
Your files are crypted with strong encryption that is literally uncrackable
Pay 1.5 BTC and i am going to decrypt your files.
Death, be not proud, though some have called thee
Mighty and dreadful, for thou art not so;
*You have got 48 hours to make a payment. If time is up, then your data is going to be deleted.

Перевод текста на русский язык:
Ты кое-чего добился
Ты получил мой маленький новый вымогатель
Кнопка Checkout payment options'
Кнопка 'PAY'
Ну что ж, поговорим о файлах и ПК
Твои файлы шифрованы с сильным шифрованием, буквально невзламываемым
Заплати 1,5 BTC и я расшифрую твои файлы.
Бесславный конец, может кто-то называет тебя
Могучий и грозный, но ты не такой;
* У тебя есть 48 часов, чтобы заплатить. Если время истечёт, твои данные будут удалены.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
firstransomware.exe
\Desktop\test\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Обновление от 2 января 2016:
Пост в Твиттере >>
Расширение .krzysioka
Результаты анализов: VT

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 JaromirHorejsi
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

OpenToYou

OpenToYou Ransomware

OpenToDecrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует связаться по email, чтобы вернуть файлы. Написан на Delphi. Название дано по логину почты: OpenToYou. Ранее назывался: OpenToDecrypt. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .-opentoyou@india.com 

Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: !!!.txt и скринлок, встающий обоями рабочего стола (файлы 1.bmp или 1.jpg). 

Содержание записки о выкупе:
Your files are encrypted!
To decrypt write on email - opentoyou@india.com
Identification key - 5E1C0884

Перевод записки на русский язык:
Твои файлы зашифрованы!
Для дешифровки пиши на email - opentoyou@india.com
Ключ идентификации - 5E1C0884

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.3ds, .3fr, .4db, .7z, .7zip, .accdb, .accdt, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpd, .mpp, .mpqge, .mrwref, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .png, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр. OpenToYou также шифрует файлы, которые не имеют своих расширений.

OpenToYou пропускает файлы, находящиеся в следующих директориях:
C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData

Разработчик шифровальщика-вымогателя допустил ошибку, вписав файл bootmgr в список пропускаемых директорий, в результате чего системынй загрузчик bootmgr шифруется, что приводит к невозможности загрузки операционной системы. 

Файлы, связанные с этим Ransomware:
!!!.txt
<random>.exe
C:\Logs\1.bmp -  файл на обои
C:\Logs\1.jpg -  файл на обои
C:\Logs\AllFilesList.ini
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
opentoyou@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптер!
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OpenToYou)
 Write-up
 Thanks: 
 Fabian Wosar (for Decrypter)
 Michael Gillespie
 Catalin Cimpanu
 *
 


Новый 2017 год начался!!!

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *