Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 апреля 2018 г.

Iron Locker

Iron Ransomware

Iron Locker Ransomware

Iron Unlocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в 0.2-0.5-1.1 BTC, чтобы вернуть файлы. Оригинальное название: Iron Locker. На файле написано: ado64.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Maktub Locker >> Iron Locker

К зашифрованным файлам добавляется расширение .encry

Изображение с сайта вымогателей

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !HELP_YOUR_FILES.HTML

Содержание записки о выкупе:
WARNING!
Your personal files are encrypted.
11:44:18
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open xxxx://y5mogzal2w25p6bn.mlor
xxxx://y5mogzal2w25p6bn.mlor
xxxx://y5mogzal2w25p6bn.ml
in your browser. They are public gates to the secret server.
The website can help you complete the decryption work automatically.
You could also send 0.2 BTC to 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
and contact this email recoverfile@mail2tor.com with below ID.
Write in the following personal ID in the input from on server:
5acf9aad008a15062d3685f5

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы.
11:44:18
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ. Сервер удалит ключ после периода времени, указанного в этом окне.
Откройте xxxx://y5mogzal2w25p6bn.ml или 
xxxx://y5mogzal2w25p6bn.ml или 
xxxx://y5mogzal2w25p6bn.ml
в вашем браузере. Это публичные ворота на секретный сервер.
Веб-сайт может помочь вам завершить работу по расшифровке автоматически.
Вы также можете отправить 0.2 BTC на 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
и контакт по email recoverfile@mail2tor.com с ID ниже.
Напишите в следующем личный ID для входа на сервер:
5acf9aad008a15062d3685f5

Запиской с требованием выкупа также выступает экран блокировки. 

***  в процессе

Другим информатором жертвы выступает сайт вымогателей, дизайн которого скопирован у сайта Maktub Locker:

Содержание текста с сайта (по страницам):
36:08:36
During this time you need to make a payment or the price will be increased.
---

HELLO!
We’re very sorry that all of your personal files have been encrypted :( But there are good news – they aren’t gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don’t make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let’s start with something else…
---

WE ARE NOT LYING!
It's easy to delete the program from your personal computer. But not one of the third party programs will be able to do the most important thing – to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files.
---

HOW MUCH DOES IT COST?
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top corner. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accept the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

 Stage Time of payment How much money should be sent
> 1 During the first 3 days 0.2 BTC (~$1200)
2 From 3 to 6 days 0.5 BTC (~$3000)
3 From 6 to 9 days 0.8 BTC (~$4800)
4 From 9 to 12 days 1.1 BTC (~$6600)
5 From 12 to 15 days 1.4000000000000001 BTC (~$8400)
6 (*) More than 15 days 1.7000000000000002 BTC (~$10200)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever.
Please take this seriously.
---

WHERE DO I PAY?
The whole process of payment confirmation is automated! As soon as you send the money, it will only take 1 minutes for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after 1 minutes(or go to homepage input your personal ID).
You must transfer 0.2 BTC to the following address:
1LDkJupTBUYsZgUREAknxFx6tQUjKRUT4o
Number File Name Size
Link
0 IronUnlocker.exe unknown Download
1 5acf9aad008a15062d3685f4.key unknown Download
---

BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don’t despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU) - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America,Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

Перевод текста на русский язык:
*** думаю, что нет нужды в переводе этого текста ***




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет исходные файлы после шифрования, а также очищает корзину. 
 Не удаляет теневые копии файлов или точки восстановления.
 Iron Locker создаёт новый случайный GUID и использует его как мьютекс, чтобы не заразить ПК второй раз. 
 На сервер отправляются: ключ шифрования, GUID, время шифрования и пр. C2-сервер отвечает другим набором значений и генерирует уникальный биткоин-адрес, из-за чего жертвы могут дважды платить по разным адресам. Не платите выкуп!

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .abk, .ade, .adpb, .adr, .aip, .amxx, .ape, .api, .apk, .arch00, .aro, .arw, .asa, .ascx, .ashx, .asmx, .asp, .asr, .asset, .bar, .bay, .bc6, .bc7, .bi8, .bic, .big, .bin, .bkf, .bkp, .blob, .blp, .bml, .bp2, .bp3, .bpl, .bsa, .bsp, .cab, .cap, .cas, .ccd, .cch, .cer, .cfg, .cfr, .cgf, .chk, .class, .clr, .cms, .cod, .col, .con, .cpp, .cr2, .crt, .crw, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .DayZProfile, .db0, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .disk, .dmg, .dmp, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dxg, .elf, .epk, .eql, .erf, .esm, .f90, .fcd, .fla, .flp, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .grf, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .img, .indd, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jpe, .kdc, .kmz, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .ldf, .lgp, .litemod, .lng, .lrf, .ltm, .ltx, .lvl, .m3u, .m4a, .map, .mbx, .mcd, .mcgame, .mcmeta, .md0, .md1, .md2, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mm6, .mm7, .mm8, .moz, .mpq, .mpqge, .mrwref, .mxp, .ncf, .nds, .nrg, .nri, .nrw, .ntl, .odb, .odf, .odp, .ods, .odt, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pbp, .pef, .pem, .pfx, .pkb, .pkh, .pkpass, .plc, .pli, .pot, .potm, .potx, .ppf, .ppsm, .pptm, .prc, .prt, .psa, .pst, .ptx, .pwf, .pxp, .qbb, .qdf, .qel, .qic, .qpx, .qtr, .r3d, .raf, .re4, .res, .rgn, .rgss3a, .rim, .rofl, .rrt, .rsrc, .rsw, .rte, .rw2, .rwl, .sad, .sav, .sc2save, .scm, .scx, .sdb, .sdc, .sds, .sdt, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .slt, .snp, .snx, .spr, .sql, .sr2, .srf, .srw, .std, .stt, .sud, .sum, .svg, .svr, .swd, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar.gz, .tax, .tcx, .thmx, .tlz, .tor, .torrent, .tpu, .tpx, .ttarch2, .tur, .txd, .txf, .uax, .udf, .umx, .unity3d, .unr, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vcd, .vdf, .ver, .vfs0, .vhd, .vmf, .vmt, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wb2, .wdgt, .wks, .wmdb, .wmo, .wotreplay, .wpd, .wpl, .wps, .wtd, .wtf, .x3f, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xlsb, .xltx, .xlv, .xlwx, .xpi, .xpt, .yab, .yps, .z02, .z04, .zap, .zipx, .zoo, .ztmp (374 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы игр (Steam - .vdf, World of Tanks - .wotreplay, DayZ - .DayZProfile) и пр.

При шифровании пропускаются следующие папки: 
Windows, windows, Microsoft, Mozilla Firefox, Opera, Internet Explorer, Temp, Local, LocalLow, $Recycle.bin, boot, i386, st_v2, intel, recycle, 360rec, 360sec, 360sand, internet explorer, msbuild

Файлы и папки, связанные с этим Ransomware:
<random>.exe - случайное название
iron_locker.exe
!HELP_YOUR_FILES.HTML
\crypto\asn1\
\crypto\bn\
\crypto\cms\
\crypto\conf\
\crypto\dsa\
\crypto\ec\
\crypto\ecdh\
\crypto\ecdsa\
\crypto\engine\
\crypto\err\
\crypto\evp\
\crypto\hmac\
\crypto\lhash\
\crypto\objects\
\crypto\pem\
\crypto\pkcs7\
\crypto\rand\
\crypto\rsa\
\crypto\stack\
\crypto\ui\
\crypto\x509\

Расположения:
\Desktop\ ->
\User_folders\ ->
\crypto\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://myip.dnsomatic.com (67.215.92.215) - проверка IP-адреса
C2: xxxx://y5mogzal2w25p6bn.ml (104.31.69.125) - C2 и сайт вымогателей
Email для связи: recoverfile@mail2tor.com
Email в ответе: oldblackjack@outlook.com
BTC: 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Maktub Locker Ransomware — март 2016 г. 
Iron Locker Ransomware — апрель 2018 г.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 июня 2018:
Пост в Твиттере >>
URL: vfk2k5s5tfjr27tz.tk
Результаты анализов: VT + IA


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Iron)
 Write-up, Topic of Support
 * 
  - видеобзор сделан с помощью сервиса ANY.RUN
 Thanks: 
 MalwareHunterTeam, Bart
 ANY.RUN, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 7 апреля 2018 г.

Horros

Horros Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем должен требовать выкуп, чтобы вернуть файлы, но не найдено никакой записки о выкупе. Оригинальное название: FileEncrypterНа файле написано: FileEncrypter.exe. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Horros

К зашифрованным файлам добавляется расширение .horros

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.  

Записка с требованием выкупа называется: не найдена. 
Вероятно, пока находится в разработке. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Используется .NET Framework 4.7.1

➤ Не обходит UAC. Требуется разрешение на запуск. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .7z, .7zip, .accdb, .ai, .asp, .bmp, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .eps, .fla, .gif, .ico, .indd, .jar, .java, .jpeg, .jpg, .js, .max, .mdb, .msg, .pdb, .pdf, .php, .png, .ps, .psd, .py, .rar, .raw, .rb, .rtf, .sdf, .sql, .svg, .swf, .tif, .txt, .vcf, .wpd, .wps, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xml, .zip (66 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
FileEncrypter.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >> +VT >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 🎥 Video review
 - Видеообзор предоставлен CyberSecurity GrujaRS
 Thanks: 
 Leo, Michael Gillespie
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 6 апреля 2018 г.

SkyFile

SkyFile Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателя, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: SkyFile. Название проекта: skyfilelocker. На файле написано: svchost.exe. Фальш-имя: Java Platform Auto Updater. Написан на языке C#.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear (modified) >> SkyFile

К зашифрованным файлам добавляется расширение .sky
Название файлов переименовывается до неузнаваемости (шифруется). 

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT.txt
Содержание записки о выкупе:
Oops, all your files have been encrypted =(
To decrypt your files, write to me at the e-mail: getsend@tutanota.com
Your data for decryption:
Private ID: ***
Private Key: *****

Перевод записки на русский язык:
Упс, все ваши файлы зашифрованы =(
Для дешифровки ваших файлов пишите мне на e-mail: getsend@tutanota.com
Ваши данные для дешифровки:
Частный ID: ***
Частный Key: *****

Запиской с требованием выкупа также выступает экран с заголовком SkyFile Decryptor | Zeus CitadeL

Содержание текста с экрана:
Oops, your files has been encrypted. Such as: photos, videos, documents, etc. To decrypt your files, read HOW TO DECRYPT.txt

Перевод текста с экрана:
Упс, ваши файлы зашифрованы. Например: фото, видео, документы и т.д.
Для дешифровки ваших файлов читайте HOW TO DECRYPT.txt



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В коде имеется довольно много русского текста. Это может быть использованный исходник или кто-то добавил его туда намеренно. 

Список файловых расширений, подвергающихся шифрованию: 
._eml, ._nws, ._sys.lfo, .123c, .123d, .123dx, .3dmf, .3dmk, .3don, .3dsx, .3dxml, .3gp2, .3gpp, .3gpp2, .7z.001, .7z.002, .8bi8, .8pbs, .8svx, .9, .a2theme, .aaui, .aawdef, .aaxplugin, .abbu, .abcd, .abcddb, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdu, .accdw, .accft, .accountpicture-ms, .acd-bak, .acd-zip, .acfm, .acid, .acorn, .acrobatsecuritysettings, .acroplugin, .acsm, .actc, .action, .actm, .acww, .adadownload, .adcp, .addin, .addon, .adoc, .adpp, .adts, .aecap, .aegraphic, .aepkey, .aepx, .aetx, .afdesign, .afploc, .afzplug, .age3rec, .age3sav, .age3scn, .age3xrec, .age3xsav, .age3yrec, .age3ysav, .agif, .agmodule, .aidl, .aifb, .aifc, .aiff, .aimppl, .albm, .album, .amfm, .amxd, .amxx, .anim, .animset, .animset_ingame, .anme, .antmpl, .apkg, .aplg, .aplp, .apng, .apnx, .appcache, .appdownload, .applescript, .application, .appref-ms, .appup, .appx, .appxupload, .arch00, .archiver, .arcut, .arduboy, .aria, .aria2, .ariax, .arpack, .arsc, .arscript, .artb, .article, .artproj, .artwork, .as2proj, .as3proj, .asat, .asax, .ascii, .ascx, .asef, .aseprite, .ashbak, .ashdisc, .ashx, .asmx, .aspx, .assetproj, .asvf, .asvx, .aswcs, .asws, .atom, .autoplay, .avastlic, .avastsounds, .avatar, .avchd, .avery, .avgdx, .avhd, .awcav, .awlive, .azw1, .azw2, .azw3, .azw4, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .band, .bbcd, .bblm, .bbproject, .bbprojectd, .bc5b, .bckp, .bcmx, .bdae, .bdic, .bdmv, .bdoc, .bdsproj, .bdt2, .bdt3, .beam, .bean, .bejeweled2deluxesavedgame, .bibtex, .bidule, .bifx, .bimx, .bitpim, .bkmk, .bkup, .blackhawkstriker2, .blasterball3savedgame, .blend, .blend1, .blend2, .blkrt, .blob, .blorb, .bluej, .bmml, .bndl, .book, .bookexport, .booktemplate, .bookwormdeluxesavedgame, .boot, .bootskin, .bpdx, .bpmc, .bpnueb, .browser, .brres, .brstm, .bswx, .btapp, .btoa, .btsearch, .bundle, .bzabw, .bzip, .bzip2, .bzplug, .cache, .caction, .cadoc, .caff, .calca, .calibre, .cals, .camp, .camproj, .camrec, .camv, .caproj, .capt, .capx, .carc, .catdrawing, .catpart, .catproduct, .cbds, .ccbjs, .ccgame, .ccip, .cdda, .cddx, .cddz, .cdf-ms, .cdlx, .cdml, .cdmm, .cdmt, .cdmtz, .cdmz, .cdoc, .cdp2, .cdsx, .cdtx, .cebx, .cedprj, .cell, .celtx, .celx, .cenon~, .cerber, .cerber2, .cerber3, .cfml, .cgfx, .cgrp, .chai, .chait, .charset, .chart, .chat, .chml, .chord, .chrparams, .chunk001, .cidb, .cimg, .cine, .circuit, .ciso, .cl2arc, .cl2doc, .cl2lyt, .cl2tpl, .clarify, .class, .cleo, .clip, .clips, .clkb, .clkbd, .clkc, .clkd, .clkk, .clkt, .clkw, .clkx, .clpi, .cmate, .cmmp, .cmmtpl, .cmod, .cmproj, .cmrec, .cndx, .codaplugin, .codasite, .coffee, .colorpicker, .colz, .comic, .comicdoc, .comiclife, .command, .comp, .compiled, .component, .compositefont, .compositiontemplate, .comppkg.hauptwerk.rar, .comppkg_hauptwerk_rar, .compressed, .conf, .config, .conform, .consis, .contact, .contour, .copreset, .copy, .cos2, .costyle, .course, .cpbitmap, .cpdx, .cpgz, .cphd, .cpio, .cptm, .cpvc, .crashed, .crdownload, .crds, .crec, .crtr, .crtx, .crwl, .crypt, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .crypted, .cryptra, .csaplan, .cshtml, .cskin, .csplan, .csproj, .ctbodyfitting, .ctxt, .cuix, .cvsrc, .cxarchive, .cyberducklicense, .cyberduckprofile, .czip, .daconnections, .dacpac, .dadiagrams, .daschema, .dash, .dat_new, .dazip, .db.crypt12, .db.crypt8, .db-journal, .dbml, .dbpro, .dbproj, .db-shm, .db-wal, .dcmd, .dcover, .dcproj, .dcst, .dctmp, .dcuil, .ddat, .ddcx, .ddoc, .ddrw, .decrypt, .deft, .design, .desktop, .deviceids, .dewf, .dfont, .dfproj, .dfti, .dgml, .dgsl, .dhtml, .dicom, .dicproof, .diff, .dime, .dinfo, .directory, .disabled, .disc, .disco, .discomap, .disk, .diskdefines, .dist, .divx, .djvu, .dlis, .dm_82, .dm_83, .dm_84, .dmgpart, .dmsa, .dmsd, .dmsd3d, .dmse, .dmsm, .dmsm3d, .dmsp, .dmss, .dmtemplate, .dmx-info, .doc#, .dochtml, .dockzip, .docm, .docmhtml, .docx, .docxml, .docz, .dolphinview, .dothtml, .dotm, .dotx, .download, .downloadhost, .downloading, .dpkw, .dproj, .drawing, .drawit, .dream, .drmx, .drmz, .dropbox, .drwdot, .ds_store, .dsgm, .dskin, .dstudio, .dtapart, .dtsconfig, .dtshd, .dtsx, .duck, .dv-avi, .dvdmedia, .dvdproj, .dvdr, .dvr-ms, .dvtcolortheme, .dvtplugin, .dwdoc, .dwfx, .dwlibrary, .dxls, .e2gm, .easm, .ebs2, .ebuild, .eddx, .edge, .edml, .edmx, .edrw, .edrwx, .edxz, .eftx, .eham, .embr, .emlx, .emlxpart, .emulecollection, .enex, .entitlements, .epibrw, .epim, .epk2, .eprt, .epsf, .epub, .escape, .eslock, .esproj, .esps, .event, .ewprj, .ex01, .example, .exe1, .exe4j, .exif, .exopc, .exportedui, .expressionmap, .eyetv, .ezdraw, .ezlog, .face, .facefx, .facefx_ingame, .fadein, .fadein.template, .fbz7, .fcarch, .fcdt, .fcgi, .fcpevent, .fcproject, .fcstd, .fdxt, .feedback, .fetchmirror, .ffil, .ffwp, .fh10, .fh11, .file, .filebolt, .film, .fits, .flac, .flexolibrary, .flic, .flif, .flka, .flkb, .flowchart, .flst, .fmat, .fmelic, .fmod, .fmp12, .fmplugin, .fmpsl, .fnlf, .fods, .fodt, .folio, .fomod, .forge, .form, .forth, .fountain, .fpdx, .fpenc, .fpfv, .fpop, .fpos, .fppx, .fpsx, .frames, .framework, .frdoc, .freeway, .fsproj, .fssave, .fsscript, .ft10, .ft11, .ftil, .ftmb, .ftmx, .ftploc, .ftpquota, .fwaction, .fwactionb, .fwbackup, .fwdn, .fwtb, .fwtemplate, .fwtemplateb, .fxcproj, .fxml, .fxpl, .fzbz, .fzip, .fzpz, .g64x, .g721, .g723, .g726, .gadget, .galaxy, .game, .gameproj, .gbaskin, .gbcskin, .gbproj, .gcdp, .gcsx, .gdoc, .gdocx, .gdraw, .gdrive, .gedcom, .gemspec, .geojson, .gfar, .gfie, .gifv, .ginspect_prj, .gitattributes, .gitignore, .glif, .glink, .glox, .gltf, .gm81, .gmap, .gmbck, .gmmod, .gmres, .gmspr, .gnumeric, .gorm, .gpbank, .gprx, .gqsx, .grade, .graffle, .grasp, .grdb, .greenfoot, .grob, .groove, .groovy, .groupproj, .growlregdict, .growlticket, .gsflib, .gsheet, .gslides, .gsr2, .gstencil, .gszip, .gtemplate, .gthr, .gtkrc, .gvdesign, .gvimrc, .gvsp, .gzip, .h264, .haml, .hbc2, .hcdt, .hdml, .hdmov, .hdrp, .heic, .heif, .hid2, .hipnc, .hki1, .hki2, .hki3, .hlsl, .honmod, .hpgl, .htaccess, .html, .html0, .htmlz, .htpasswd, .htxt, .htz4, .htz5, .hvpl, .hwdt, .hype, .hyperesources, .hypesymbol, .hypetemplate, .iadaction, .iadclass, .iadcomponent, .iadpage, .iadplug, .iadproj, .iadstyle, .ibooks, .ibplugin, .ic3d, .ical, .icalendar, .icap, .icbu, .icma, .icml, .icmt, .icon, .iconset, .icontainer, .icpr, .icst, .icursorfx, .idap, .idea, .ideplugin, .idlk, .idml, .idms, .idpk, .idpp, .idx0, .idx255, .ifcxml, .ifczip, .iges, .ikmp, .ilbm, .ildoc, .image, .imapmbox, .imovielibrary, .imoviemobile, .imovieproj, .imovieproject, .imtx, .inca, .incd, .inct, .incx, .indb, .indd, .indesignplugin, .indk, .indl, .indp, .inds, .indt, .inetloc, .info, .infopathxml, .inform, .inlk, .inlx, .inprogress, .ipcc, .ipch, .iphotoproject, .ipick, .ipspot, .ipsw, .ipynb, .ircp, .irrmesh, .isale, .isaletemplate, .isallic, .isma, .ismc, .ismclip, .ismv, .isoz, .itc2, .itdb, .ithmb, .itls, .itms, .itmsp, .itpc, .iv2i, .ivue, .iwdgt, .izzy, .jar.pack, .jarvis, .jasper, .java, .jbig, .jbig2, .jbmp, .jceks, .jcrypt, .jfif, .jhtml, .jiff, .jmce, .jmck, .jmcp, .jmcr, .jmcx, .jnlp, .jpeg, .jpg2, .jpg-large, .jpgw, .jrprint, .jrtf, .jrxml, .jsfl, .json, .jsonlz4, .jspa, .jspf, .jspx, .jsxbin, .jvsg, .jvsgz, .kdenlive, .kdevelop, .kdevprj, .kexi, .kexic, .kexis, .keychain, .keystore, .kismac, .kmcobj, .kodak, .kodu, .koob, .kwreplay, .lasso, .lastlogin, .latex, .layout, .ldif, .lemon, .less, .letter, .lh3d, .lhzd, .li3d, .libzip, .licensekey, .licenses, .licx, .link, .linx, .lisp, .litemod, .livecode, .liveupdate, .lizd, .lock, .locked, .locky, .logic, .logicly, .logicx, .logonvista, .logonxp, .look, .loov, .love, .lpdf, .lpkg, .lproj, .lrec, .lrmodule, .lrplugin, .lrpreview, .lrsmcol, .lrtemplate, .lrwebengine, .lsproj, .lucidsnippet, .luxb, .lvivt, .lvix, .lwfn, .lwtp, .lx01, .lxfml, .lxsopt, .lxsproj, .lzma, .m1pg, .m2ts, .m3u8, .maff, .magik, .mahjongtitanssave-ms, .mailhost, .mailplanelicense, .mailstationery, .mailtoloc, .makerbot, .mani, .manifest, .maplet, .mapx, .markdown, .mars, .marshal, .mart, .mask, .masseffectprofile, .masseffectsave, .master, .material, .maxc, .mbbk, .mbox, .mcdx, .mcfi, .mcfp, .mcpack, .mcrp, .mcserver, .mcsp, .mcsx, .mcworld, .md5.txt, .md5anim, .md5camera, .md5mesh, .mdbackup, .mdbhtml, .mddata, .mdimporter, .mdinfo, .mdsx, .mdzip, .mell, .mellel, .menc, .menu, .merlinlicense, .mesh, .meta, .mfil, .mgcb, .mgdatabase, .mgmf, .mgmt, .mgmx, .mgtx, .mhtml, .midi, .miff, .milk, .mime, .minesweepersave-ms, .minigsf, .minipsf, .miniso, .miniusf, .mint, .mjdoc, .mjpeg, .mjpg, .mk3d, .mmap, .mmat, .mmdc, .mmip, .mmlp, .mmpz, .mobi, .mobileprovision, .modd, .mode, .model, .modfem, .module, .moef, .moff, .mogg, .moho, .montage, .moov, .mosaic, .moti, .motn, .motr, .movie, .mp10, .mp11, .mp12, .mp13, .mp14, .mp21, .mp2m, .mp2s, .mp2v, .mp4.infovid, .mp4v, .mpcpl, .mpdconf, .mpdp, .mpeg, .mpeg1, .mpeg2, .mpeg4, .mpg2, .mpg4, .mpga, .mpgindex, .mpkg, .mpkt, .mpls, .mproj, .mpsub, .mpv2, .mrimg, .mrml, .mrxs, .ms11, .ms12, .ms13, .ms14, .ms3d, .mscx, .mscz, .msdvd, .msha, .mshc, .mshi, .msim, .mskn, .mspx, .msrcincident, .mswmm, .mt2s, .mthd, .muse, .musx, .mvdx, .mvex, .mvtx, .mwlic, .mx5template, .mxaddon, .mxmf, .mxml, .mxskin, .myapp, .mycolors, .mynotesbackup, .n3pmesh, .narc, .narrative, .nav2, .nbak, .ncfg, .ncor, .ncorx, .ncss, .ndif, .ndoc, .nexe, .nftr, .ngage, .n-gage, .ngloss, .ngrr, .nick, .nitf, .nl2script, .nltrack, .nmap, .nmbtemplate, .nmsv, .nomedia, .note, .notebook, .notes, .npfx, .nrbak, .nrmlib, .nsbca, .nsbmd, .nsbta, .nsbtx, .ntrk, .numbers, .numbers-tef, .nupkg, .nuspec, .nwbak, .nwctxt, .nwdb, .obml, .obml15, .obml16, .octest, .odif, .odin, .odttf, .oeaccount, .oebzip, .officeui, .ognc, .ogwu, .omod, .onepkg, .onetoc2, .oo3template, .opdownload, .opeico, .openbsd, .opju, .oplc, .opml, .opus, .orig, .osax, .osdx, .otln, .otpu, .otrkey, .ovpn, .oxps, .pack, .pack.gz, .package, .paf.exe, .page, .pages, .pages-tef, .pamp, .pando, .pandora, .pano, .papa, .papers, .paq6, .paq7, .paq8, .paq8f, .paq8l, .paq8p, .par2, .part, .partial, .partimg, .patch, .pbx5script, .pbxbtree, .pbxproj, .pbxscript, .pbxuser, .pcapng, .pcast, .pcsav, .pctl, .pdadj, .pdas, .pder, .pdex, .pdfxml, .pdpcmd, .pdpcomp, .pdwr, .peak, .pegn, .pekey, .perfmoncfg, .pfile, .pgal, .phar, .photoshow, .photoslibrary, .php2, .php3, .php4, .php5, .phtm, .phtml, .picnc, .pict, .pictclipping, .pigm, .pigs, .pika, .pipd, .pipe, .piskel, .pixadex, .pixela, .pjpeg, .pjpg, .pkey, .pkg.tar.xz, .pkgdef, .pkgundef, .pkpass, .plain, .plantuml, .player, .playground, .playlist, .playmission, .plist, .plproj, .plsc, .plsk, .plugin, .plx64, .pmdx, .pmlz, .pmvx, .png, .pntg, .pobi, .pobj, .policy, .potm, .potx, .ppam, .ppcx, .ppdf, .ppmod, .ppsm, .ppsx, .ppthtml, .pptm, .pptmhtml, .pptx, .pqb-backup, .pqhero, .prdx, .pref, .prefab, .prel, .prfpset, .primitives, .primitives_processed, .pro4dvd, .pro5dvd, .pro5plx, .pro5template, .profile, .profimail, .propdesc, .properties, .props, .proqc, .proto, .prproj, .prtl, .prvx, .ps1xml, .psar, .psc1, .psdx, .pset, .psf1, .psf2, .psid, .psm1, .pspbrush, .pspimage, .psproj, .pssd, .pssg, .psw6, .ptcop, .ptex, .ptxt, .publication, .pvhd, .pvmz, .pwdp, .pwdpl, .pxicon, .pyxel, .pzfx, .qb2009, .qb2011, .qb2012, .qb2013, .qb2014, .qb2017, .qba.tlg, .qbmb, .qbmd, .qcow, .qcow2, .qlgenerator, .qmbl, .qmtf, .qtch, .qtif, .qtindex, .qualsoftcode, .quicken2015, .quicken2015backup, .quicken2016backup, .quicken2017, .quicken2017backup, .quickenbackup, .quickendata, .qvpp, .radiumkey2, .radq, .raskinlicense, .raskinplace, .ratdvd, .rbxl, .rbxm, .rbxmx, .rcproject, .rcrec, .rctd, .rcut, .rdlc, .readme, .refresh, .reloc, .rels, .resjson, .resmoncfg, .resources, .resw, .resx, .rexx, .rflw, .rgba, .rgmb, .rgrp, .rgss3a, .rgssad, .rhtml, .riff, .rise, .rmbak, .rmskin, .rmvb, .roadtrip, .rock, .rodl, .rodx, .rodz, .rpgproject, .rplib, .rpln, .rpmsg, .rproj, .rptr, .rsdf, .rsrc, .rtfd, .rttex, .ruleset, .rvdata, .rvdata2, .rvid, .rvproj, .rvproj2, .rwlibrary, .rwplugin, .rwstyle, .rwsw, .rwtheme, .rxdata, .s2ml, .s2mv, .safariextz, .safe, .safenotebackup, .safetext, .sami, .sas7bdat, .sass, .save, .saveddeck, .sbproj, .sc2archive, .sc2assets, .sc2bank, .sc2data, .sc2locale, .sc2ma, .sc2map, .sc2mod, .sc2replay, .sc2save, .sc45, .sc4desc, .sc4lot, .sc4model, .scacfg, .scad, .scar, .scdoc, .schematic, .scpcfg, .scpresets, .scpt, .scptd, .screenflow, .script, .scriptsuite, .scriptterminology, .scriv, .scrivx, .scs11, .scss, .scut4, .scworld, .sd2f, .sdat, .sdef, .sdoc, .sdsk, .sdtid, .seam, .search-ms, .sedprj, .seed, .seplugin, .sequ, .session, .sesx, .settingcontent-ms, .settings, .sfap0, .sfar, .sfera, .sfpack, .sfvidcap, .sgml, .sgpbprj, .sh3d, .sh3f, .sha1, .sha512, .shar, .shortcut, .shtm, .shtml, .sidb, .sidd, .sidn, .sifz, .simg, .simp, .sims2pack, .sims3, .sims3pack, .sis.dm, .sisx, .sisx.dm, .site, .sitemap, .sites, .sites2, .sitx, .sjpg, .skba, .skcard, .sketch, .skin, .skindex, .skitch, .sky, .skypechatstyle, .skypeemoticonset, .sla.gz, .sldasm, .slddrt, .slddrw, .sldprt, .slogo, .sltng, .slupkg-ms, .smali, .smil, .smmx, .smpf, .smpx, .smrailroadssavedgame, .smrd, .smwt, .smzip, .snag, .snagitstamps, .snagproj, .snagstyles, .snapfireshow, .snappy, .snippet, .so-abi, .soepsx, .song, .sopt, .sparc, .sparsebundle, .sparseimage, .spdf, .spec, .spfx, .spiff, .spl7, .splane, .sppack, .sprg, .sprite, .sprite2, .spub, .sqfs, .sqlite, .sqlite3, .sqlitedb, .sqlproj, .src.rpm, .srep, .sseq, .ssl2, .sslf, .ssnd, .stap, .startupinfo, .stencyl, .step, .stmb, .stml, .story, .storyboard, .storyisttheme, .storymill, .stproj, .strings, .studio, .studio3, .stxt, .styk, .stykz, .style, .sublime-package, .sublime-project, .sublime-snippet, .sublime-workspace, .suck, .sugar, .suit, .sumo, .suniff, .sv2i, .svgz, .svn-base, .svn-work, .swift, .switch, .sxls, .sxml, .synw-proj, .t3001, .taac, .tar.bz2, .tar.gz, .tar.gz2, .tar.lz, .tar.lzma, .tar.md5, .tar.xz, .tar.z, .targa, .targets, .tax2009, .tax2010, .tax2011, .tax2013, .tax2015, .tax2016, .tax2017, .tbz2, .tda3mt, .tddd, .teacher, .temp, .template, .terminal, .testrunconfig, .testsettings, .text, .textclipping, .textfactory, .texture, .tfil, .tfrd, .theater, .theme, .themepack, .thing, .thmx, .thumb, .tibkp, .tiff, .tiger, .timestamp, .tivo, .tkfl, .tlzma, .tmbundle, .tmlanguage, .tmproj, .tmtheme, .tmvt, .tnef, .tnsp, .toast, .topc, .topprj, .topviw, .torrent, .totalslayout, .tpark, .tpkey, .trace, .trak, .trec, .trelby, .trif, .truck, .tstream, .tt10, .tt12, .tt13, .tt17, .ttarch, .ttbk, .ttkgp, .ttxt, .tvlayer, .tvpi, .tvrecording, .tvshow, .tvtemplate, .tvvi, .twig, .txt, .typeit4me, .uasset, .uccapilog, .udcx, .ufs.uzip, .ugoira, .uhtml, .uibak, .umod, .unauth, .unity, .unity3d, .unityproj, .unknown, .upoi, .userprofile, .usertile-ms, .usflib, .ut2mod, .ut4mod, .utf8, .utxt, .uzip, .v11.suo, .v12.suo, .v264, .vaporcd, .vbhtml, .vbox, .vbox-extpack, .vbox-prev, .vbproj, .vbscript, .vbx6settings, .vcomps, .vcpf, .vcpref, .vcproj, .vcxproj, .vdata, .vdproj, .vegaswindowlayout, .vert, .vexe, .vfs0, .vhdx, .vicar, .video, .viewlet, .viff, .viivo, .vimrc, .visual, .visual_processed, .vivo, .vlab, .vmcx, .vmdk, .vmdk-converttmp, .vmf_autosave, .vmhf, .vmhr, .vmlf, .vmlt, .vmpl, .vmtm, .vmwarevm, .vmxf, .vncloc, .voca, .volarchive, .voxal, .vpc6, .vpc7, .vpcbackup, .vrimg, .vrml, .vrphoto, .vsdisco, .vsdm, .vsdx, .vsix, .vsmacros, .vsmdi, .vsmproj, .vsprops, .vsps, .vspscc, .vspx, .vsqx, .vssettings, .vssscc, .vstm, .vstpreset, .vstx, .vtml, .vtpr, .vxml, .waff, .wagame, .wallet, .walletx, .wave, .wbcat, .wbmp, .wbxml, .wcry, .wdgt, .wdgtproj, .wdseml, .webarchive, .webarchivexml, .webbookmark, .webdoc, .webhistory, .webloc, .webm, .webp, .website, .webtemplate, .webtheme, .webz, .wfsp, .whirld, .whtt, .widget, .winclone, .windowslivecontact, .wixlib, .wixmsp, .wixmst, .wixobj, .wixout, .wixpdb, .wixproj, .wlmp, .wlvs, .wmdb, .wmga, .wmmp, .wncry, .woff, .woff2, .wordlist, .work, .workflow, .workspace, .world, .wotreplay, .wowsl, .wproj, .wrts, .wrypt, .wsdl, .wspak, .wsve, .wtpl, .wtpt, .wzconfig, .wzmul, .xadd, .xaml, .xamlx, .xapk, .xbap, .xbdoc, .xbel, .xbplate, .xcappdata, .xcarchive, .xcconfig, .xcdatamodeld, .xcodeplugin, .xcodeproj, .xcplugin, .xcsnapshots, .xcworkspace, .xdna, .xensearch, .xesc, .xfdf, .xfdl, .xhtm, .xhtml, .xise, .xlam, .xlmv, .xlnk, .xlsb, .xlshtml, .xlsm, .xlsmhtml, .xlsx, .xlthtml, .xltm, .xltx, .xmcd, .xmcdz, .xmdx, .xmind, .xmlff, .xmlper, .xmmap, .xojo_binary_project, .xojo_menu, .xojo_project, .xojo_xml_project, .xoml, .xpaddercontroller, .xquery, .xrdml, .xrns, .xsiaddon, .xslic, .xslt, .xspf, .xtbl, .xtodvd, .xtreme, .xvid, .xzfx, .yaml, .yaodl, .yenc, .ykcol, .yookoo, .yrcbck, .zabw, .zbfx, .zblorb, .zepto, .zfsendtotarget, .zhtml, .zipx, .zmap, .zrtf, .zsplit, .ztmp, .zvpl, .zzzzz (в этом списке 1884 расширения, но всего там 7465 расширений). 

Это документы MS Office, OpenOffice, PDF, файлы веб-страниц, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы налоговых деклараций, файлы игр, файлы прикладных программ, даже  расширения от других шифровальщиков и прочие файлы. 

➤ Ещё больше, 7763 расширений, было только у Amnesia Ransomware

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
HOW TO DECRYPT.txt
SkyFile Decryptor.exe
SVCHOST.EXE (svchost.exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getsend@tutanota.com
lockerfrom@yandex.ru
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться к Майклу Джиллеспи >>
---
Attention!
Files can be decrypted!
I recommend ask help to Michael Gillespie >>
 - видеообзор от CyberSecurity GrujaRS
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SkyFile)
 Write-up, Topic of Support
 🎥 Video review >>
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 3 апреля 2018 г.

Vurten

Vurten Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $10000 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Использована библиотека Crypto++. 

Обнаружения: 
BitDefender -> Trojan.GenericKD.30546630
Avira (no cloud) -> TR/Occamy.doysv
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQD
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_VURTEN.THDOEAH

© Генеалогия: Everbe, DCRTR + Generic Ransomware > Vurten
Родство подтверждено сервисом Intezer Analyze >>


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .improved

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: UNCRYPT.README.txt


С
одержание записки о выкупе:
Your entire network sensetive data was encrypted with our strong algorithm.
To recover your data send $10000 to the bitcoin address: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
If you do not send money within 7 days, payment will be increased double.
After payment you will receive decryption software.
Contact email: vurten_knyert@protonmail.com

Перевод записки на русский язык:
Все ваши сетевые данные зашифрованы с нашим сильным алгоритмом.
Для возврата ваших данных пошлите $10000 на биткоин-адрес: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
Если вы не пошлёте деньги за 7 дней, оплата будет удвоена.
После оплаты вы получите программу дешифрования.
Контактный email: vurten_knyert@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.$db, .001, .002, .003, .08, .09, .10, .11, .7z, .ab, .abk, .accdb, .accde, .accdr, .accdt, .accdw, .accft, .ade, .adi, .adl, .adn, .arc, .arm, .arz, .asd, .ate, .ati, .bac, .bak, .bak2, .big, .bkp, .bkup, .bup, .c, .cal, .cat, .cbs, .cbu, .cc, .cls, .cmf, .cnf, .conf, .cpp, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .cs, .csv, .cxx, .dat, .db, .db3, .dbf, .dbs, .dbt, .dbv, .ddl, .def, .dex, .doc, .docm, .docm, .docx, .docx, .docxml, .dot, .dot, .dov, .dqy, .dropbox, .dsc, .dsk, .dsn, .eml, .emlx, .fdb, .fpt, .frm, .frt, .gho, .ghs, .grv, .gz, .gzip, .h, .hc, .hdi, .hds, .hfs, .hfv, .hlog, .htm, .html, .ib, .ibc, .ibd, .ibz, .imm, .ism, .jpg, .kdb, .kdbx, .latex, .ldf, .ltr, .maf, .map, .maq, .mar, .maw, .mbf, .mcd, .mdb, .mdbhtml, .mdbx, .mdf, .mdf, .mdn, .mig, .mpp, .mrg, .msg, .mwb, .myd, .myi, .mysql, .nbf, .ndf, .nvram, .obk, .odif, .odm, .odp, .ods, .odt, .one, .opt, .ori, .orig, .ort, .pages, .pdf, .pdf, .phl, .pla, .pln, .ppt, .pptx, .pst, .pub, .pvm, .qbquery, .rar, .rtf, .rul, .sal, .scn, .sco, .sdf, .sln, .sqb, .sql, .sqlite, .sqlitedb, .sqr, .tar, .tc, .tc, .tib, .tmd, .tmd, .trc, .txt, .txt, .vbk, .vbm, .vbox-prev, .vdi, .vhd, .vhdx, .vmcx, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmwarevm, .vmx, .vmxf, .volarchive, .vpcbackup, .vrb, .walletx, .wbb, .wdb, .wim, .win, .wks, .wrk, .xld, .xlk, .xls, .xlsm, .xlsx, .xml, .xps, .zip (213 расширения в нижнем регистре).

 .$DB, .__A, .__B, .7Z, .AB, .ABK, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACCDW, .ACCFT, .ADE, .ADI, .ADL, .ADN, .ARC, .ARM, .ARZ, .ASD, .ATE, .ATI, .BAC, .BAK, .BAK2, .BIG, .BKP, .BKUP, .BUP, .C, .CAL, .CAT, .CBS, .CBU, .CC, .CLS, .CMF, .CNF, .CONF, .CPP, .CRYPT12, .CRYPT5, .CRYPT6, .CRYPT7, .CRYPT8, .CRYPT9, .CS, .CSV, .CXX, .DAT, .DB, .DB3, .DBF, .DBS, .DBT, .DBV, .DDL, .DEF, .DEX, .DOC, .DOCM, .DOCM, .DOCX, .DOCX, .DOCXML, .DOT, .DOT, .DOV, .DQY, .DROPBOX, .DSC, .DSK, .DSN, .EML, .EMLX, .FDB, .FPT, .FRM, .FRT, .GHO, .GHS, .GRV, .GZ, .GZIP, .H, .HC, .HDI, .HDS, .HFS, .HFV, .HLOG, .HTM, .HTML, .IB, .IBC, .IBD, .IBZ, .IMM, .ISM, .JPG, .KDB, .KDBX, .LATEX, .LDF, .LTR, .MAF, .MAP, .MAQ, .MAR, .MAW, .MBF, .MCD, .MDB, .MDBHTML, .MDBX, .MDF, .MDF, .MDN, .MIG, .MPP, .MRG, .MSG, .MWB, .MYD, .MYI, .MYSQL, .NBF, .NDF, .NVRAM, .OBK, .ODIF, .ODM, .ODP, .ODS, .ODT, .ONE, .OPT, .ORI, .ORIG, .ORT, .PAGES, .PDF, .PDF, .PHL, .PLA, .PLN, .PPT, .PPTX, .PST, .PUB, .PVM, .QBQUERY, .RAR, .RTF, .RUL, .SAL, .SCN, .SCO, .SDF, .SLN, .SQB, .SQL, .SQLITE, .SQLITEDB, .SQR, .TAR, .TC, .TC, .TIB, .TMD, .TMD, .TRC, .TXT, .TXT, .VBK, .VBM, .VBOX-PREV, .VDI, .VHD, .VHDX, .VMCX, .VMDK, .VMEM, .VMSD, .VMSN, .VMSS, .VMTM, .VMWAREVM, .VMX, .VMXF, .VOLARCHIVE, .VPCBACKUP, .VRB, .WALLETX, .WBB, .WDB, .WIM, .WIN, .WKS, .WRK, .XLD, .XLK, .XLS, .XLSM, .XLSX, .XML, .XPS, .ZIP (208 расширений в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Пропускает файлы и папки, содержащие названия и строки: 
WINDOWS, Boot, BOOTSECT, pagefile, System Volume Information, Program Files, Program Files (x86), $Recycle.Bin, ProgramData, AppData\Local, Microsoft, Kaspersky Lab, PerfLogs, VMWare, $RECYCLE.BIN, bootmgr, MSOCache, Public, All Users, Users\\Default, Local\Temp

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
UNCRYPT.README.txt
mswsvc.exe
updater.bat

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vurten_knyert@protonmail.com
BTC: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vurten)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Alex Svirid, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *