Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 15 октября 2017 г.

CryptoDemo

CryptoDemo Ransomware

(демо-вымогатель)


Этот демонстрационный крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: CryptoDemo. На файле написано: CryptoDemo.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoDemo. Начало. 

К незашифрованным файлам никакое расширение не добавляется.

Релиз этого демонстрационного крипто-вымогателя пришелся на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает понять его другим.

Запиской с требованием выкупа выступает экран блокировки. Так как это демонстрационная программа, то поэтому его можно просто закрыть. 

Содержание текста с экрана:
Your personal files are encrypted!
Your personal files are encrypted
Your important files were encrypted on this computer: photos, videos, documents, etc.
You can verify this by click on see files and try to open them.
Encryption was produced using unique public key RSA-4096 generated for this computer. To decrypt files you need to obtain private key.
The single copy of the private key, which will allow you to decrypt the files is located on a secret server on the Internet.
the server will destroy the key within 12 hours after encryption completed.
After that nobody and never will be able to restore files.
To retrieve the private key. you need to pay 0.5 bitcoins.
Any attempt to remove or damage this software will lead to immediate private key destruction by server.
Your files will be lost without payment on:
9/29/2017 5:33:39 AM
[See Files]
[Proceed to payment]

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши личные файлы зашифрованы
Ваши важные файлы были зашифрованы на этом компьютере: фото, видео, документы и т.д.
Вы можете проверить это, щелкнув по "See Files" и попытаться их открыть.
Шифрование сделано с помощью уникального открытого ключа RSA-4096, созданного для этого компьютера. Чтобы расшифровать файлы, вам надо получить секретный ключ.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете.
Сервер уничтожит ключ через 12 часов после завершения шифрования.
После этого никто и никогда не сможет восстановить файлы.
Чтобы получить закрытый ключ, вам нужно заплатить 0.5 биткоина.
Любая попытка удалить или повредить это программное обеспечение приведет к немедленному уничтожению личного ключа сервером.
Ваши файлы будут потеряны без оплаты:
29/9/2017 в 5:33:39 утра
[См. Файлы]
[Перейти к оплате]



Технические детали

Если кто-то задумает прикрутить к нему настоящий крипто-вымогатель, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Часть кода демо-вымогателя

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoDemo.exe

Расположения:
C:\Demo\Crypt\CryptoDemo

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: нет данных.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 14 октября 2017 г.

Magniber

Magniber Ransomware

My Decryptor Ransomware

New attacks: Magniber 2022 Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (CBC-режим), а затем требует выкуп в 0.200 BTC, чтобы вернуть файлы. Оригинальное название: Magniber. Но на странице Tor-сайта вымогателей указаноMy Decryptor

© Генеалогия: Cerber >> Magniber

Этимология названия: 
От сложения двух слов Magnitude + Cerber. Здесь Magnitude — это набор эксплойтов, последний для Cerber вектор распространения инфекции. С ним вредонос Cerber закончил своё распространение в сентябре 2017 года. 

★ Для справки:
Набор эксплойтов Magnitude или Magnitude EK, имевший ранее глобальный охват, был предложен в качестве службы в кибер-преступном сообществе уже в 2013 году. Затем он покинул рынок и стал частным набором эксплойтов, который в основном распространял крипто-вымогателей, в частности CryptoWall. В начале второй половины 2016 года Magnitude переместил фокус на азиатские страны, поставляя разных крипто-вымогателей, например, Locky и Cerber. Совсем недавно было замечено, что Magnitude претерпел небольшой перерыв, с 23 сентября по 15 октября 2017 года. Теперь новым пейлоадом Magnitude EK стал крипто-вымогатель, получивший название Magniber.

Диаграмма предоставлена TrendMicro

К зашифрованным файлам добавляется расширения по шаблону .<random{5-9}> т.е. с 5-ю, 6-ю, 7-ю, 8-ю, 9-ю знаками.

На момент написания статьи это было только: .kgpvwnr, .ihsdj

В конце статьи в "Блоке обновлений" есть другие расширения, но бессмысленно указывать другие варианты, потому что шаблон выше я указал — <random{5-9}>

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных и южнокорейских пользователей (ID языка 1042), что не мешает распространять его по всему миру. Первыми целями Magniber стали пользователи из Южной Кореи, далее — под прицелом пользователи из других стран. 


Записки с требованием выкупа называются:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt - ранний образец
READ_ME_FOR_DECRYPT_<random>_.txt - образец только для Кореи

Это можно записать также как:
_HOW_TO_DECRYPT_MY_FILES_<victim_id>_.txt
READ_ME_FOR_DECRYPT_<victim_id>_.txt

Например,
_HOW_TO_DECRYPT_MY_FILES_27dh6y1kyr49yjhx8i3_.txt
READ_ME_FOR_DECRYPT_3sk982xn01q099a7yee_.txt



Содержание записки о выкупе (HOW_TO_DECRYPT_MY_FILES):
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
 ===
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third-party software will be fatal for your files!
 ===
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
 Note! This page is available via "Tor Browser" only.
 ===
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
 Note! These are temporary addresses! They will be available for a limited amount of time! 

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
  ===
  Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
  Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
  Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
  ===
  Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
  1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
  2. В "Tor-браузер" откройте свою личную страницу здесь:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
  Заметка! Эта страница доступна только через браузер Tor.
  ===
  Также вы можете использовать временные адреса на своей личной странице, не используя "Tor-браузер":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
  Заметка! Это временные адреса! Они будут доступны в течение ограниченного времени!

Содержание записки о выкупе (READ_ME_FOR_DECRYPT):
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
===
To receive the private key and decryption program follow the instructions below:
1. Download "Tor-браузер" from xxxxs://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
===
Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
===
Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
2. В "Tor-браузер" откройте свою личную страницу здесь:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Запиской с требованием выкупа выступают также Tor-сайты вымогателей, где расписано всё по пунктам. Есть страница поддержки и страница бесплатной расшифровки 1 файла. 


 1-я страница (3 экрана)

 2-я и 3-я страницы

Содержание текста с Tor-сайтов вымогателей:
Your documents, photos, databases and other important files have been encrypted!
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING!
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network.
Within 5 days you can purchase this product at a special price: BTC 0.200 (~ $1105)
After 5 days the price of this product will increase up to: BTC 0.400 (~ $2210)
The special price is available:
03 . 22:12:16
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:
 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments:
 Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)

Перевод части текста с Tor-сайтов на русский язык:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
ПРЕДУПРЕЖДЕНИЕ! Любые попытки восстановить файлы с помощью стороннего программного обеспечения будут фатальными для ваших файлов! ПРЕДУПРЕЖДЕНИЕ!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «My Decryptor»
Все транзакции должны выполняться через сеть BITCOIN.
В течение 5 дней вы можете приобрести этот продукт по специальной цене: BTC 0.200 (~ $ 1105)
Через 5 дней цена этого продукта будет увеличиваться до: BTC 0.400 (~ $ 2210)
Специальная цена доступна:
03. 22:12:16
Как получить «Мой дешифратор»?
1. Создайте Биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов
Вот наши рекомендации:
*** пропуск адресов ***
3. Отправьте 0.200 BTC на следующий биткоин-адрес:
  18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Управляйте транзакцией суммы из панели «История платежей» ниже
5. Загрузите текущую страницу после оплаты и получите ссылку для загрузки программы.
  Оплата:
  Всего получено: BTC 0.000
На данный момент мы получили от вас: BTC 0.000 (осталось заплатить BTC 0.200)


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Magnitude - вектор распространения инфекции для Cerber.


Magniber шифрует файлы только на системах, где языком пользователя является корейский язык, с ориентацией на Южную Корею. Ранние образцы не имели жёсткой привязки, чуть позже 

Список файловых расширений, подвергающихся шифрованию:
.123, .1cd, .3dm, .3ds, .3g2, .3gp, .4d, .4db, .4mp, .602, .7z, .a3d, .abm, .abs, .abw, .accdb, .act, .adn, .adp, .aes, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .aic, .aim, .albm, .alf, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .arc, .art, .arw, .asc, .ase, .asf, .ask, .asm, .asp, .asw, .asy, .aty, .avi, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bm2, .bmp, .bmx, .bna, .bnd, .boc, .bok, .brd, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bz2, .c, .c4, .c4d, .ca, .cals, .can, .cd, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmz, .cdr, .cdr3, .cdt, .cf, .cfu, .cgm, .cimg, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cpp, .cps, .cpx, .cr2, .crd, .crt, .crw, .cs, .csr, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .dad, .daf, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dch, .dcr, .dcs, .dct, .dcx, .dd, .dds, .ded, .der, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dif, .dip, .diz, .djv, .djvu, .dm3, .dmi, .dmo, .dnc, .dne,.doc, .docb, .docm, .docx, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dx, .dxb, .dxf, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .em, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eq, .erf, .err, .etf, .etx, .euc, .exr, .fa, .faq, .fax, .fb, .fb2, .fbx, .fcd, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fla, .flr, .flv, .fm5, .fmv, .fo, .fodt, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpx, .frm, .frt, .frx, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gih, .gim, .gio, .glox, .gpd, .gpg, .gpn, .gro, .grob, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hp, .hpg, .hpg, .hpi, .hs, .htc, .hwp, .hz, .i3d, .ib, .ibd, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .ii, .iiq, .imd, .info, .ink, .ipf, .ipx, .iso, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jar, .jas, .java, .jb2, .jbig, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .js, .jsp, .jtf, .jtx, .jw, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .key, .kic, .klg, .knt, .kon, .kpg, .kwd, .lay, .lay6, .lbm, .lbt, .ldf, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lyt, .lyx, .m3d, .m3u, .m4u, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .mdb, .mdf, .mdn, .mdt, .me, .mef, .mel, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mid, .min, .mkv, .mm, .mmat, .mnr, .mnt, .mos, .mov, .mp3, .mp4, .mpeg, .mpf, .mpg, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mx, .my, .myd, .myi, .ncr, .nct, .ndf, .nef, .nfo, .njx, .nlm, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nv2, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odg, .odm, .odo, .odp, .ods, .odt, .of, .oft, .omf, .onetoc2, .oplc, .oqy, .ora, .orf, .ort, .orx, .ost, .ota, .otg, .oti, .otp, .ots, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p, .p12, .p7s, .p96, .p97, .pa, .pan, .pano, .pap, .paq, .pas, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pdb, .pdd, .pdf, .pdm, .pds, .pdt, .pe4, .pef, .pem, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpg, .pjt, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prt, .prw, .ps1, .psd, .psdx, .pse, .psid, .psp, .pst, .psw, .ptg, .pth, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qd, .qmg, .qpx, .qry, .qvd, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rd, .rdb, .rft, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtx, .run, .rw, .rw2, .rzk, .rzn, .s2mv, .s3m, .saf, .sam, .sbf, .scad, .scc, .sch, .sci, .scm, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfw, .sgm, .sh, .sig, .sk1, .sk2, .skm, .sla, .sld, .sldm, .sldx, .slk, .sln, .sls, .smf, .sms, .snt, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sq, .sqb, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .stc, .std, .sti, .stm, .stn, .stp, .str, .stw, .sty, .sub, .suo, .svf, .svg, .svgz, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tab, .tar, .tbk, .tcx, .tdf, .tdt, .te, .tex, .text, .tgz, .thp, .tif, .tiff, .tlb, .tlc, .tm, .tmd, .tmv, .tmx, .tne, .tpc, .trm, .tvj, .u3d, .u3i, .udb, .ufr, .unx, .uof, .uop, .uot, .upd, .usr, .utf8, .utxt, .v12, .vb, .vbr, .vbs, .vcd, .vct, .vdb, .vdi, .vec, .vm, .vmdk, .vmx, .vnt, .vob, .vpd, .vrm, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vstm, .vstx, .vue, .vw, .wallet, .wav, .wb2, .wbk, .wcf, .wdb, .wgz, .wire, .wk1, .wks, .wma, .wmdb, .wmv, .wn, .wp, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpd, .wpg, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .x, .x3d, .xar, .xd, .xdb, .xlc, .xld, .xlf, .xlgc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xps, .xwp, .xy3, .xyp, .xyw, .ya, .ybk, .ym, .z3d, .zabw, .zdb, .zdc, .zip, .zw (859 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Magniber пропускает файлы, путь которых содержит следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\documents and settings\all users\
:\documents and settings\default user\
:\documents and settings\localservice\
:\documents and settings\networkservice\
:\program files\
:\program files (x86)\
:\programdata\
:\recovery\
:\recycler\
:\users\all users\
:\windows\
:\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

Файлы, связанные с этим Ransomware:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt
Magniber.exe
<random>.exe
<extension>.exe

Расположения:
%Temp%\<random>.exe
%Temp%\kgpvwnr.exe
%Temp%\ihsdj.exe
%Temp%\<extension>.exe
%Temp%\<victim_id>.<extension>

Примечание об идентификаторе жертв


Интересное наблюдение, сделанное Майклом Джиллеспи. 

Реконструкция скриншотов и описание автора этого блога. 

Пояснение информации со скриншота
Уникальной особенностью Magniber является то, как пользователь входит на TOR-сайт оплаты выкупа. Обычно другими Ransomware создаётся уникальный идентификатор (ID) для жертвы, когда Ransomware сделает своё дело. Этот ID жертвы затем добавляется в записку о выкупе и жертва должна использовать его для входа на TOR-сайта оплаты выкупа. 
Magniber же действует иначе. Он используют ID в качестве поддомена на TOR-сайте. Например, в скриншоте записки о выкупе есть ссылка xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion на TOR-сайт оплаты выкупа. В этом URL-адресе поддомен 3sk982xn91q999a7yee является ID жертвы. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/***
185.99.2.183 - IP
xxxx://[victim_id].ofotqrmsrdc6c3rz.onion***
xxxx://ava10ib3t21s1xfc4p6.bankme.date/
xxxx://psuutsnokbe6k8ody24.bankme.date - C2
xxxx://[victim_id].bankme.date - C2
xxxx://[victim_id].jobsnot.services - C2
xxxx://[victim_id].carefit.agency - C2
xxxx://[victim_id].hotdisk.world - C2
BTC: 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на образец с .kgpvwnr (ранний)>>
VirusTotal анализ на образец с .kgpvwnr (ранний) >>
Гибридный анализ на другой образец >>
VirusTotal анализ другой образец >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 октября 2017 / Update on October 20, 2017: 


Пост в Твиттере / Tweet >>
Расширения / Extensions: .fprgbk и .vbdrj
Записка / Ransom-note: READ_ME_FOR_DECRYPT.txt
Tor: xxxx://00ld545z6vv4i70qc7x.i4f6jinsfxuzpizs.onion/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.winehis.online/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.whyfits.agency/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.onesask.services/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.courtdo.site/MRt1Z80Wrk3S96yl
<< Скриншот записки / Screenshot of note

Обновление от 1 ноября 2017 / Update on November 1, 2017:
Пост в Твиттере / Tweet >>
Новая вредоносная кампания Magniber / New malicious campaign Magniber
Идентификатор / ID: U261X574T67287Bs
Расширение / Extension: .skvtb
Новые порталы / New portals:
xxxx://gcxdedv2a1zs81w2j23.e263g2eb53wgzvgk.onion/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.icehas.today/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.ofguide.xyz/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.withguy.space/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.lowson.agency/U261X574T67287Bs 



Обновление ноября 2017 / Update for November 2017:
Новые расширения / New extensions:
.madrcby
.jdakuzbrk
.ymdmf
.vbdrj
.fprgpk
.iupgujqm
.Ihjjnetmm
.vpgvlkb

Обновление от 27 ноября 2017 / Update on November 27, 2017:
Пост в Твиттере / Tweet >>
Та же вредоносная кампания против Южной Кореи
Идентификатор / ID: LAm6597463bf7G87
Расширение / Extension: .vpgvlkb
Маркер файла / File's marker: "ElD10671hu1384Z8"
Записка / Ransom-note: read me for decrypt.txt
Tor-URL:  ***.y66remv7qqmlgvyn.onion
***.moralme.agency/LAm6597463bf7G87
***.madbits.schule/LAm6597463bf7G87
***.cupeye.life/LAm6597463bf7G87
***.putsits.world/LAm6597463bf7G87


Обновление от 1 декабря 2017 / Update on December 1, 2017:
Пост в Твиттере / Tweet >>
Та же вредоносная кампания против Южной Кореи
Идентификатор / ID: g020s450pw5195Po
Расширение / Extension: .dlenggrl
Tor-URL: ***.wnhzkwxjrmi3eaop.onion/g028s450pw5195Po
***.termsas.world/g020s450pw5195Po
***.bodydie.today/g020s450pw5195Po
***.offsite.website/g020s450pw5195Po
***.bewomen.schule/


Обновление от 2 декабря 2017 / Update on December 2, 2017:
Пост в Твиттере / Tweet >>

Расширение / Extension: .xhspythxn
Маркер файлов / File's marker: ydum13807s92qXqp
Записка / Ransom-note: READ_FOR_DECRYPT.txt
Новые URL: ***.j77tg3w3j35scjzu.onion/ydum13807s92qXqp
***.lostdry.website/ydum13807s92qXqp
***.killput.world/ydum13807s92qXqp
***.hespen.services/ydum13807s92qXqp
***.redhow.site/ydum13807s92qXqp



Обновление от 2 декабря 2017 / Update on December 2, 2017:
Пост в Твиттере /Tweet >>
Расширение / Extension: .dwbiwty
Маркер файлов: U8r994Or5C28197k

Обновление от 2 декабря 2017 / Update on December 2, 2017:
Пост в Твиттере >>
Расширение / Extension: .fbuvkngy
Маркер файлов / File's marker: d33z4EBS44ByO850
Записка / Ransom-note: READ_FOR_DECRYPT.txt
URL: ***.bewomen.schule/***


Обновление от 3 декабря 2017 / Update on December 3, 2017:
Пост в Твиттере >>
Расширение / Extension: .dxjay
Маркер файлов: B6H3KY2K3F8l6m90
Записка / Ransom-note: READ_FOR_DECRYPT.txt


Обновление от 4 декабря 2017 / Update on December 4, 2017:
Расширение + маркер файлов / Extension + file's marker:
.axlgsbrms + R16l4cq66AB5g658
.damdzv + E0H0850341t59O43
.demffue + tLNSY1Ah0a0O803c
.mftzmxqo + zQ6PZhBDDNS85T80
.mqpdbn + D98C26fX6609616N
.nhsajfee + GKY5ZBan948Bft9Z
.qmdjtc + aU2942WZ8KUX7632
Посты в Твиттере: пост1, пост2


Обновление от 13 декабря 2017 / Update on December 13, 2017:
Пост в Твиттере >>
Расширение / Extension: .wmfxdqz
Записка / Ransom-note: READ_FOR_DECRYPT.txt
Результаты анализов на payload: HA + VT

Скриншот записки о выкупе и список расширений

Обновление от 2 марта 2018:
Пост в Твиттере >>
Новый формат записки: READ_ME.txt
Формат адресов не изменился.


Июнь 2018:
С июня атаки Magniber переключились на другие страны Азиатско-Тихоокеанского региона: Китай, Гонконг, Тайвань, Сингапур, Малайзия, Бруней, Непал и другие. 


Обновление от 5 июля 2018:
Расширение: .ypkwwmd
URL: xxxx://4i5z1h6i0z7v55p1y0y.seeaewxughnmr7k5.onion/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.vipsound.host/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.horsego.site/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.bitssun.space/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.weekbad.host/ypkwwmd
Топик на форуме >>



Обновление от 16 июля:
Результаты анализов: 
VT (Magniber original)
VT (Magniber базовая DLL)

Обновление от 26 декабря 2018:
Пост на форуме >>
Сумма выкупа: 0.6-1.2
BTC: 1FMCYggJn1DhN4cYZG4yGDbaj6BPx3tCze
Записка: readme.txt
➤ Содержание записки:
Your documents, photos, databases and other important files have been encrypted! 
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING! 
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network. 
Within 5 days you can purchase this product at a special price: BTC 0.6 (~ $2270) 
After 5 days the price of this product will increase up to: BTC 1.200 (~ $4540)
3. Send BTC 0.600 to the following Bitcoin address:   1FMCYggJn1DhN4cYZG4yGDbaj6BPx3tCze 
4. Control the amount transaction at the "Payments History" panel below 
5. Reload current page after the payment and get a link to download the software
The following is in the "readme.txt"
 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
=============================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
=========================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.3hu33vpr5aw7zey2.onion/fcmmwjagg
 Note! This page is available via "Tor Browser" only.
=============================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.brownpi.club/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.fishare.top/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.orcrash.icu/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.ofand.icu/fcmmwjagg
 Note! These are temporary addresses! They will be available for a limited amount of time!

Обновление от 20 февраля 2019:
Тема на форуме >>
Расширение: .bvaqtum
Шаблон расширения: .<random{5-9}>
Записка: readme.txt


➤ Содержание записки:

 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
 =========================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
 =========================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://10d42e48c430e080800bvaqtum.tmw2mb37epapjbfm.onion/bvaqtum
 Note! This page is available via "Tor Browser" only.
 =========================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://10d42e48c430e080800bvaqtum.refits.top/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.sendown.icu/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.howthat.top/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.astopic.icu/bvaqtum
 Note! These are temporary addresses! They will be available for a limited amount of time!

---
Множество однотипных вариантов с различными случайно сгенерированными расширениями были пропущенными. Эта угроза до сих пор активна. Одно из новых обновлений см. ниже. 
---
Обновление от 27 мая 2019 года:
Топик на форуме >>
Расширение: .fbpxgklpx
Записка: readme.txt
BTC: 1LvoajQqGNQqF6vukWia7dk6c9PbHg6PiM


➤ Содержание записки:

 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
 =============================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
 =============================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 hxxx://ea3066c82c989680c44fbpxgklpx.s73okl4w7a2ur4b3.onion/fbpxgklpx
 Note! This page is available via "Tor Browser" only.
 =============================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 hxxx://ea3066c82c989680c44fbpxgklpx.waswarm.world/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.pastfit.info/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.nicer.win/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.messso.icu/fbpxgklpx

 Note! These are temporary addresses! They will be available for a limited amount of time!


=== 2022 ===

Новость от 6 января 2022:
Magniber теперь распространяется через уязвимости в Microsoft Edge и Google Chrome. Используется замаскированный под приложение для Chrome или Edge файл APPX (с расширением .appx), который внутри содержит действительный сертификат. Поэтому приложение в Windows сортируется как доверенное приложение, что позволяет его установку. 


Вариант от 27 апреля 2022:
Расширение (примеры): .yyqiidt, .cyvpbwzfv, .lpdyefulm
Расширение (шаблон): .<random{7-9}>
Записка: README.html
Файлы замаскированы под обновления для Windows 10 и распространяются с пиратских сайтов. 
Это могут быть файлы: 
Security_Upgrade_Software_Win10.0.msi
Win10.0_System_Upgrade_Software.msi
System.Upgrade.Win10.0-KB47287134.msi и другие. 
Результаты анализов: VT + AR + TG
Результаты анализов: VT + AR 

 

 

➤ Содержание записки:
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===============================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third party software will be fatal for your files!
===============================================================
To receive the private key and decryption program follow the instructions below:
1. Download 'Tor Browser' from https://www.torproject.org/ and install it.
2. In the 'Tor Browser' open your personal page here:
hxxx://d4b86aa00c34f6e064ayyqiidt.mhlx63m7qbsiovcr74v2zvjxbv7pgjarawrab7oaf4wc2mjwikhoeaad.onion/yyqiidt
Note! This page is available via 'Tor Browser' only.
====================================================================================================
Also you can use temporary addresses on your personal page without using 'Tor Browser':
hxxx://d4b86aa00c34f6e064ayyqiidt.oddcopy.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.rarefix.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.raredo.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.ofrisk.info/yyqiidt
Note! There are temporary addresses! They will be available for a limited amount of time!


Вариант от 20 мая 2022:
Файл: moavjcbg.exe
Результаты анализов: VT + TG + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

К сожалению, для более поздних версий нет бесплатного дешифровщика. 
Только более ранние, корейские варианты можно было расшифровать. 
*
Мы будет отслеживать возможные случаи дешифровки. 
*

Внимание!
Специалистам AhnLab удалось дешифровать файлы. 
Ссылки на статью поддержки и корейские дешифраторы. 
http://asec.ahnlab.com/1123
http://asec.ahnlab.com/1124
http://asec.ahnlab.com/1125
http://asec.ahnlab.com/1126
http://asec.ahnlab.com/1127
http://asec.ahnlab.com/1129
http://asec.ahnlab.com/1132
http://asec.ahnlab.com/1136
http://asec.ahnlab.com/1137
 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as Magniber, prev. My Decryptor)
 Write-up, Topic of Support
 Мой пост в теме поддержки >>
Added later:
Write-up by TrendMicro - October 18, 2017
Write-up by BleepingComputer - October 18, 2017
Write-up by MalwarebytesLabs - October 18, 2017
Write-up by Malwaebyteslabs - July 16, 2018 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author) 
 Kafeine, Lawrence Abrams, 
 TrendMicro, Malwarebyteslabs, AnhLab

© Amigo-A (Andrew Ivanov): All blog articles.


Это восьмисотая статья блога!!!

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *