Если вы не видите здесь изображений, то используйте VPN.

понедельник, 13 ноября 2017 г.

Goofed HT Ransomware

Goofed HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: hidden-tear.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Goofed HT

К зашифрованным файлам добавляется расширение .goofed

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOU_DONE_GOOFED.txt

Содержание записки о выкупе:
Files has been encrypted with hidden tear
Send me $100 in bitcoin to 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
And email me at hiddentear@protonmail.com for your decryption key.

Перевод записки на русский язык:
Файлы были зашифрованы hidden tear
Пошли мне $100 в биткоине на 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
И мыль мне на hiddentear@protonmail.com для твоего ключа дешифрования.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
YOU_DONE_GOOFED.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hiddentear@protonmail.com
BTC: 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XZZX CryptoMix

XZZX CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> CryptoMix RevengeXZZX 

Фактически дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Shark, x1881 и другие Ransomware семейства CryptoMix, поколения Revenge

К зашифрованным файлам добавляется расширение .XZZX

Примеры зашифрованных файлов:
1F241DD811D6CE58200C71AD147DB2A0.XZZX
1FDE72EB06961662A674E0D3094CFAAA.XZZX
0F9C2D52036D12B016C4400F0623F6F8.XZZX

Активность этого крипто-вымогателя пришлась на первую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
XZZX CryptoMix Ransomware

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
xzzx@tuta.io
xzzx1@protonmail.com
xzzx10@yandex.com
xzzx101@yandex.com
Please send email to all email addresses! We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
xzzx@tuta.io
xzzx1@protonmail.com
xzzx10@yandex.com
xzzx101@yandex.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe
Desktop background.png

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xzzx@tuta.io
xzzx1@protonmail.com
xzzx10@yandex.com
xzzx101@yandex.com
См. ниже результаты анализов.

Связанные публичные ключи:
Этот вариант также, как и предыдущие, содержит 11 общедоступных ключей RSA-1024, которые используются для шифрования AES-ключа, используемого для шифрования файлов жертвы. Это позволяет шифровальщику работать автономно без сетевого подключения. 
См. ключи в статье на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 🎥 Video review
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

jCandy

jCandy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: jCandy Ransomeware. На файле написано. Разработчик: PYNCH, TheBadApple (указаны в записках о выкупе). Версия 1 и версия 2. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> jCandy 

К зашифрованным файлам добавляется расширение .locked-jCandy

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
READ_ME.txt или 
JCANDY_INSTRUCTIONS.txt

Содержание записки о выкупе:
jCandy Created by ~ PYNCH ~ 
jCandy encrypted your files. 
Please send $200 USD worth of bitcoin to the address provided 12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew  
Your files will then be unlocked.

или (другой вариант)

jCandy Created by ~ TheBadApple ~ 
jCandy encrypted your files. 
Please send $200 USD worth of bitcoin to the address provided 12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew  
Your files will then be unlocked.

Перевод записки на русский язык:
jCandy Created by ~ PYNCH ~ или ~ TheBadApple ~ 
jCandy зашифровал ваши файлы. 
Отправьте $200 в биткоинах на адрес 12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew 
Ваши файлы будут разблокированы. 


Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
jCandy
YOUR FILES HAVE BEEN LOCKED
We have encrypted ALL your important files!
We have NOT deleted ANY files. Your files have been LOCKED!
If you would like access to your files you will need to purchase S200 USD worth of BITCOIN and have it sent to this bitcoin address below.
After the payment is recieved your files will be decrypted and this program will delete itself.
You have 48 hours to send the payment and have your files unlocked.
If you fail to do so, your files will be DELETED
~ Kind Regards, jCandy
SEND PAYMENT TO [12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew]
[COPY]
[Unlock my files] [BUY BITCOIN]

Перевод текста на русский язык:
jCandy
ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ
Мы зашифровали ВСЕ ваши важные файлы!
Мы НЕ удаляли ВСЕ файлы. Ваши файлы блокированы!
Если вы хотите получить доступ к своим файлам, вам нужно будет купить биткоины на $200 США и отправить их на этот биткоин-адрес ниже.
После получения платежа ваши файлы будут дешифрованы, а эта программа удалит себя.
У вас есть 48 часов, чтобы отправить платеж и разблокировать файлы.
Если вы этого не сделаете, ваши файлы будут удалены
~ С уважением, jCandy
ОТПРАВЬТЕ ПЛАТЕЖ НА [12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew]
[КОПИРОВАТЬ]
[Разблок файлов] [КУПИТЬ БИТКОИНЫ]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .xls, .xlsx, .xml, .zip  (22 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы веб-страниц, архивы и пр.

Файлы, связанные с этим Ransomware:
JCANDY_INSTRUCTIONS.txt или READ_ME.txt
jCandy Ransomeware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 12pFSG5hxcbdV33JmcSnEnFXr1woFYTeew
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> + HA >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 JAMESWT
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 11 ноября 2017 г.

Cyber Police HT

Cyber Police HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cyber Police. На файле написано: adobe.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Cyber Police HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на обоях:

Содержание текст о выкупе:
YOUR COMPUTER IS BLOCKED BY CYBER POLICE
FOR UNLICENSED SOFTWARE'S USAGE
Your documents, photos, databases and other important files have been encrypted with strong encryption and unique key, generated for this computer. The private decryption key is stored on a secret internet server and nobody can decrypt your files until you will pay fine and then obtain the private key.
HOW TO PAY
Go to http://www.localbitcoins.com and buy Bitcoins worth of 100$ with your favorite payment method. Then through your account, send Bitcoins worth about 100$ to our Bitcoin address: 1NiGZiFPRqGdxB7ZpbcVsRUVqLJ2SjLsuM and indicate your email to receive the private decryption key via your email.

Перевод текст на русский язык:
ВАШ КОМПЬЮТЕР БЛОКИРОВАН КИБЕР-ПОЛИЦИЕЙ
ЗА ИСПОЛЬЗОВАНИЕ НЕЗАКОННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с помощью надежного шифрования и уникального ключа, созданного для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите штраф, а затем получите закрытый ключ.
КАК ПЛАТИТЬ
Перейдите на http://www.localbitcoins.com и купите биткоины на сумму 100$ с помощью вашего любимого способа оплаты. Затем через свою учетную запись отправьте биткоины на сумму около 100$ на наш биткоин-адрес: 1NiGZiFPRqGdxB7ZpbcVsRUVqLJ2SjLsuM и укажите ваш email для получения секретного ключа дешифрования на ваш email.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
adobe.exe
<image>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 10 ноября 2017 г.

Evasive HT

Evasive HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: malware. На файле написано: malware.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Evasive HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: нет данных.
Пытается заменить обои рабочего стола. 

Содержание записки о выкупе:
Dear fellows, Attention please!
As you may noticed, all the data on your computer has been encrypted.
To decrypt the files, each of your computer need a privatekey which is held by us.
We guarantee that your files can be 100% restored only with our help.
Your leadership (anyone who's in charge) should email us at getkeys@tutanota.com within the next 12 hours.
Remember, you only have 48 hours to get the keys before your data lost forever.
Backup Email: weknownit@mail2tor.com

Перевод записки на русский язык:
Дорогие ребята, пожалуйста Внимание!
Как вы заметили, все данные на вашем компьютере были зашифрованы.
Чтобы расшифровать файлы, каждому компьютеру нужен секретный ключ, который есть у нас.
Мы гарантируем, что ваши файлы можно на 100% восстановить только с нашей помощью.
Ваше руководство (любой, кто ответит) должно отправить нам email на адрес getkeys@tutanota.com в течение 12 часов.
Помните, что у вас есть только 48 часов, чтобы получить ключи, прежде чем ваши данные будут потеряны навсегда.
Резервный email: weknownit@mail2tor.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.aspx, .cpp, .csv, .doc, .docx, .h, .html, .jpg, .jsp, .lnk, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .pst, .rar, .sql, .txt, .xls, .xlsx, .xml, .zip (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
malware.exe
Desktop background.png

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getkeys@tutanota.com и weknownit@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 8 ноября 2017 г.

BancoCrypt HT

BancoCrypt HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10 через PAYZA, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Banco. Разработчик: Jhash.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> BancoCrypt HT

К зашифрованным файлам добавляется расширение .locky

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Исследователи сообщили о венесуэльском происхождении вымогателя. 

Записки с требованием выкупа называются: 
Leeme_Nota_de_Rescate.txt
READ_IT.txt
BancoCrypt HT Ransomware
BancoCrypt HT Ransomware

Содержание записок о выкупе:
Despus de eso, te enviaremos los pasos a seguir para recuperar tus preciados archivos.
Esta computadora ha sido hackeada
Tu informacion personal ha sido encriptada. Envianos 10 dlares por medio de PAYZA a la siguiente direccin de pago: jhash.bancaenlinea@zoho.com , y al mismo correo enviaras un capture de la transaccin.
Despus de eso, te enviaremos los pasos a seguir para recuperar tus preciados archivos.
Un paso en falso y perders todos tus archivos, no te equivoques, 
Jhash

***
Tu informacion personal ha sido encriptada. Envianos 10 dlares por medio de PAYZA a la siguiente direccin de pago: jhash.bancaenlinea@zoho.com , y al mismo correo enviaras un capture de la transaccin.
Un paso en falso y perders todos tus archivos, no te equivoques, 
Jhash

Перевод записок на русский язык:
После этого мы отправим вам шаги для восстановления ваших ценных файлов.
Этот компьютер взломан
Ваша личная информация зашифрована. Отправьте нам $10 через PAYZA на следующий адрес оплаты: jhash.bancaenlinea@zoho.com, и по тому же адресу отправьте скриншот транзакции.
После этого мы отправим вам шаги для восстановления ваших ценных файлов.
Один неверный шаг, и вы потеряете все свои файлы, не ошибитесь, 
Jhash

***
Ваша личная информация была зашифрована. Отправьте нам $10 через PAYZA на следующий адрес оплаты: jhash.bancaenlinea@zoho.com, и по тому же адресу отправьте скриншот транзакции.
Один неверный шаг, и вы потеряете все свои файлы, не ошибитесь, 
Jhash

Более наглядным информатором жертвы выступает изображение ransom.jpg, которое загружается с сайта imgur.com и встаёт обоями Рабочего стола.
BancoCrypt HT Ransomware

Содержание текста с обоев:
No debes asustarte...
Pero hemos bloqueado todos
Tus archivos de manera que sean
Inutilizables.
Si quieres desbloquearlos...
Abre el Archivo Leeme.txt
Que está en tu escritorio.
Y sigue cuidadosamente
Las Instrucciones.
Un paso en Falso y Será un daño 
Irreparable.

Перевод на русский язык:
Вы не должны пугаться ...
Но мы заблокировали все
Ваши файлы, чтобы они были
Непригодны.
Если вы хотите разблокировать их...
Откройте файл Leeme.txt
Что на вашем столе
И внимательно следуйте
Инструкции
Один неверный шаг и ущерб будет 
Невосполним.
.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Leeme_Nota_de_Rescate.txt
READ_IT.txt
local.exe
<random>.exe
ransom.jpg

Расположения:
\\Desktop\\Leeme_Nota_de_Rescate.txt
\\Desktop\\READ_IT.txt.locky
\\Rand123\\local.exe
\\ransom.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jhash.bancaenlinea@zoho.com
xxxxs://imgur.com/nPcEpO8.png - загружаемая картинка встаёт обоями Рабочего стола
xxxxs://app-1509153828.000webhostapp.com/write.php
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 7 ноября 2017 г.

Foxy

Foxy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Foxy. На файле написано: Foxy - Rnsmwre.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Foxy

К зашифрованным файлам добавляется расширение .nightmare

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
Foxy Ransomware
Foxy Ransomware

Содержание записки о выкупе:
1.) What happened to my PC/Files
- Your Files has been encrypted, what means, they are useless for you.
2.) Can I recover my Files?
- Of course. Just pay the price shown below, to the also shown below Bitcoin Address and after we recived the Payment, you get the decryption Key.
3.) Is there any other way to get my Files back?
- Yeah there is one option -->
Restore your PC (All Files are gone)
4.) How I got infected with that?
- Probably you thought, you're safe in the Internet but Nope you aren't. Get Rekt.
---
00 : 46 : 55
If the Countdown is finished, all your Files get deleted!
Pay fast, get safe!
[Do Payment]
[Decrypt Files]

Перевод записки на русский язык:
1.) Что случилось с моим ПК / файлами
- Ваши файлы зашифрованы, что значит, они бесполезны для вас.
2.) Могу ли я восстановить свои файлы?
- Конечно. Просто заплатите сумму, указанную ниже на также показанный ниже Биткоин-адрес, и после того, как мы получим платеж, вы получите ключ дешифрования.
3.) Есть ли другой способ вернуть мои файлы?
- Да, есть один вариант ->
Восстановить свой ПК (все файлы исчезнут)
4.) Как я заразился этим?
- Наверное, вы думали, что вы в безопасности в Интернете, но нет, нет. Получите ответ.
---
00 : 46 : 55
Если отсчет времени завершится, все ваши файлы будут удалены!
Заплатите быстрее, будете в безопасности!
[Do Payment]
[Decrypt Files]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Записывает ключ шифрования в %Documents%\decrpt.openwithnotepad
В работе шифровальщика присутствуют баги. 
Что может говорить о том, что данный вымогатель или еще не доделан, или вообще сделан, чтобы напугать кого-то злой шуткой. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Foxy - Rnsmwre.exe
WindowsSoundDriver.exe 

Расположения:
%Temp%\WindowsSoundDriver.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *