Если вы не видите здесь изображений, то используйте VPN.

среда, 5 июля 2017 г.

Azer CryptoMix

Azer Ransomware

Azer CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Powerstateoff. На файле написано: Powerstateoff.exe и gangbang.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cryptomix >> Azer > Exte, Pirate

К зашифрованным файлам добавляется составное расширение по шаблону ***-email-[email_address].AZER

Примеры зашифрованных файлов:
5E25CB783F2F2B0787FC017844C81017-email-[webmafia@asia.com].AZER
0A8E72FB2B09B9ACCB3825E530A29EBC-email-[webmafia@asia.com].AZER
0123D76912AE38BBC3DC429B18471DCB-email-[webmafia@asia.com].AZER

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _INTERESTING_INFORMACION_FOR_DECRYPT.TXT

Содержание записки о выкупе:
All you files encrypted
For decrypt write to email:
 webmafia@asia.com
 donald@trampo.info
You ID - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:
Все твои файлы зашифрованы
Для дешифровки пиши на email
 webmafia@asia.com
 donald@trampo.info
Твой ID - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX



Технические детали

Эта версия не поддерживает связь с сетью и полностью отключена. 
AZER шифрует файлы аналогично другим в семействе Cryptomix.
Включает десять различных ключей шифрования RSA-1024, см. ниже. 
Один из этих ключей выбирается для ключа AES шифрования файлов. 
Например, в варианте Mole02 был только один открытый ключ RSA-1024.
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V+M3nFvQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7 bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj BXWAK7kI6PMjAsycjQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5 Alv8dKw5oY2B84RApQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j EPtf81OdtqlTI6x6uwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk+u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja 5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/JtNwKF5bg3ycuhQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3+JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS+RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq 0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW ybODvrXAfJlITYUYIQIDAQAB
-----END PUBLIC KEY-----
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_INTERESTING_INFORMACION_FOR_DECRYPT.TXT
gangbang.exe
<random>.exe

Расположения:
%AppData%\[random].exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: webmafia@asia.com
donald@trampo.info
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Обновление: июль 2017
Примечательно, что те же email-адреса используются в другой вредоносной кампании - Nemesys.
Это может говорить только о том, что за обоими крипто-вымогателями стоят одни и тех люди. 


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 4 июля 2017 г.

J-Ransomware

J-Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: J-Ransomware. На файле написано: J-Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ZeroRansom > J-Ransomware.exe

К зашифрованным файлам добавляется расширение .LoveYou

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке.

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:
Hey you !! Congratulations. Your fucking files are all encoded

Перевод записки на русский язык:
Привет !! Поздравляю. Твои долбаные файлы зашифрованы

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет жёстко запрограммированный пароль "password". 

Список файловых расширений, подвергающихся шифрованию:
.cal, .casb, .ccp, .cmx, .cr2, .db3, .drw, .dwg, .dxf, .pdb, .psd, .psp, .sql, .sqlite, .sqlite3, .sqlitedb (16 расширений). 

Это файлы баз данных, специализированные графические файлы (растровые, векторные изображения, чертежи пр.) и пр.

Файлы, связанные с этим Ransomware:
J-Ransomware.exe
ReadMe.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://jackspam.esy.es/public_html/ransomware.php***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Unikey

Unikey Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Unikey-Ransomware. На файле написано: hidden-tear и Unikey-Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Unikey-Ransomware

Этимология названия:
Не смотря на "уникальное" название, в самом вымогателе нет ничего уникального, обычный HiddenTear.

К зашифрованным файлам добавляется расширение .locked

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё находится в разработке, т.к. в записке нет контактов для уплаты выкупа и шифруются только файлы в папке "test" на рабочем столе. 

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs, desserts, being drunk.

Перевод записки на русский язык:
Файлы были зашифрованы hidden tear
Отправь мне биткоины или кебаб
И я тоже ненавижу ночные клубы, десерты, пьяных. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Unikey-Ransomware.exe

Расположения:
\Desktop\test
\Desktop\test\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***ransomware.vmware.lab/write.php
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZeroRansom

ZeroRansom Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выполнить инструкции, но не сообщат сумму выкупа и контакты для его уплаты, чтобы вернуть файлы. Оригинальное название: ZeroRansom. На файле написано: ConsoleCS_NetF. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .z3r0

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке, т.к. в записке нет контактов для уплаты выкупа. 

Записка с требованием выкупа называется: EncryptNote_README.txt
ZeroRansom

Содержание записки о выкупе:
All your important files have been encrypted by ZeroRansom. Please follow instruction below to keep your file
1. Don't try to do anything stupid like delete the encryptor or terminate its process.
2. Turn off your anti-virus program and make sure it hasn't deleted any file of the encryptor
3. Follow these rule strictly or your files will be deleted FOREVER
4. Thanks for reading this. Have a good day, sir. :)

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы ZeroRansom. Следуйте инструкциям ниже, чтобы сохранить файл
1. Не пытайтесь делать что-то глупое, как удаление шифратора или завершение его процесса.
2. Отключите свою антивирусную программу и убедитесь, что она не удалила ни одного файла шифратора
3. Соблюдайте это правило строго или ваши файлы будут навсегда удалены 
4. Спасибо за это. Удачного дня, сэр. :)

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Отправляет ключ шифрования через посту Gmail.

Список файловых расширений, подвергающихся шифрованию:
.7z, .bat, .c, .cpp, .cs, .db, .dll, .doc, .docx, .gif, .jar, .java, .jpg, .mp3, .mp4, .pdf, .peg, .png, .ppt, .pptx, .rar, .sln, .txt, .xls, .xlsx, .zip (26 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ConsoleCS_NetF.exe
EncryptNote_README.txt

Расположения:
\Desktop\EncryptNote_README.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email из кода: zerounix32@gmail.com, zerounix48@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

воскресенье, 2 июля 2017 г.

BTCWare-Aleta

Aleta Ransomware

BTCWare-Aleta Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (только первые 10 Мб), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Aleta Ransomware. 
BTCWare-Aleta Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWareBTCWare-Aleta

К зашифрованным файлам добавляются расширения
.[black.mirror@qq.com].aleta
.[black.block@qq.com].aleta
.[averiasw@qq.com].aleta

Email может меняться, потому шаблон расширения можно записать так: .[<email>].aleta

Активность этого крипто-вымогателя пришлась на конец июня - начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_READ_ME_#!.inf
Aleta

Запиской с требованием выкупа также является скринлок, встающий обоями рабочего стола. 
Aleta

Содержание текстовой записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: black.mirror@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files
Your ID:
bv/T6B2J***

Перевод текстовой записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью
Если вы хотите их восстановить, напишите нам на e-mail: black.mirror@qq.com
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию
И их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к утрате данных
Если вы не напишете на email за 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы
Ваш ID:
bv/T6B2J***

Содержание текста с обоев:
ALETA RANSOMWARE
Your important files produced on this computer have been encrypted!
The only way to decrypt your files is to receive the private-key and decryption program.
To receive the private-key and decryption program write us to the e-mail: darkwaiderr@cock.li and attach your ID
You can find it in READ_ME file
ATTENTION!
If you not write on e-mail in 36 hours your key has been deleted and you cant decrypt your files

Перевод текста на русский язык:
ALETA RANSOMWARE
Ваши важные файлы, созданные на этом компьютере, были зашифрованы!
Единственный способ расшифровать ваши файлы - это получить закрытый ключ и программу дешифрования.
Чтобы получить закрытый ключ и программу дешифрования, напишите нам на email: darkwaiderr@cock.li и прикрепите свой ID
Вы можете найти его в файле READ_ME
ВНИМАНИЕ!
Если вы не напишете на email за 36 часов, ваш ключ будет удален, и вы не сможете расшифровать свои файлы

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
Aleta
Завершает работу и отключает запуск на старте системы некоторых служб.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
darkwaiderr@cock.li.exe
!#_READ_ME_#!.inf

Расположения:
%APPDATA%\!#_READ_ME_#!.inf
%USERPROFILE%\Desktop\!#_READ_ME_#!.inf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: black.mirror@qq.com
black.block@qq.com
averiasw@qq.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июля 2017:
Пост в Твиттере >>
Записка:  !#_READ_ME_#!.txt
Расширение: .aleta
Составное расширение: .[black.block@qq.com].aleta
Email: black.block@qq.com





Обновление от 18 июля 2017:
Email: averiasw@qq.com
Расширение: .aleta
Составное расширение: .[averiasw@qq.com].aleta
Тема поддержки >>


Обновление от 11 сентября 2017:
Записка: !#_READ_ME_#!.hta
Email: payfordecrypt@qq.com
Расширение: .aleta
Составное расширение: .[payfordecrypt@qq.com].aleta


Обновление от 26 июля 2017:
Расширение: .aleta
Составное расширение: .[chines34@protonmail.ch].aleta
Записки: !#_READ_ME_#!.hta и Info.hta
Email: chines34@protonmail.ch



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Aleta)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

суббота, 1 июля 2017 г.

RanRans

RanRans Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 BTC, чтобы вернуть файлы. Оригинальное название: RanRans. На файле написано: CrackMe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> RanRans

К зашифрованным файлам добавляется расширение .ranrans

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Содержит ошибки и даёт сбои. 

Записка с требованием выкупа называется: READ_IT.txt
Другим информаторов выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
Your PC Has been Encrypted !
Please send 50$ in Bitcoin to this Address : 1EkL3c68MY5MvchU4FHRYCjEj4DKAerG9
With Blockchain : xxxxs://blockchain.info/payment request?address=1EkL3c68MYv5MvchU4FHRYCjEj4DKAerG9&amount=0.2&message=RanRans 
Sign up on blockchains.info or some other website and send the payment.
What's BTC? xxxxs://wikipedia.org/wiki/Bitcoin
Download Decrypt Tool : xxxx://bit.lv/2pSvhaO or xxxx://bit.ly/2pSGjvO or xxxx://bit.ly/2qtVk8B
Once paid you will have your key for Restore your file.
Please Send your email as comment with the name of your computer when you send the Payment. 

Перевод записки на русский язык:
Ваш компьютер был зашифрован!
Пожалуйста, отправьте 50$ в биткоинах на этот адрес: 1EkL3c68MY5MvchU4FHRYCjEj4DKAerG9
С Blockchain: xxxxs://blockchain.info/payment request?address=1EkL3c68MYv5MvchU4FHRYCjEj4DKAerG9&amount=0.2&message=RanRans 
Зарегистрируйтесь на сайте blockchains.info или на другом веб-сайте и отправьте платеж.
Что такое BTC? xxxxs://wikipedia.org/wiki/Bitcoin
Загрузите декриптер: xxxx://bit.lv/2pSvhaO или xxxx://bit.ly/2pSGjvO или xxxx://bit.ly/2qtVk8B
После оплаты у вас будет ключ для восстановления вашего файла.
Пожалуйста, отправьте ваш email в виде комментария с именем вашего компьютера когда сделаете оплату.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crack Me.exe
<random>.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ranrans.000webhostapp.com/*** (145.14.145.49:443, Нидерланды)
xxxx://pp.com/***
xxxx://copyexitodelvalle.tk/wp-login.php***
xxxx://member-daumchk.netai.net/ ***
xxxxs://lancelvoice.000webhostapp.com/new-messages/new-office-note/***
xxxx://voiceandfax.000webhostapp.com/ ***

xxxxs://byhakdad.000webhostapp.com/***
xxxx://bit.lv/2pSvhaO
xxxx://bit.ly/2pSGjvO
xxxx://bit.ly/2qtVk8B
BTC: 1EkL3c68MYv5MvchU4FHRYCjEj4DKAerG9
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RanRans)
 Write-up, Topic of Support
 Video review
 Thanks: 
 Lawrence Abrams‏ 
 GrujaRS
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *