вторник, 17 ноября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы обратно. 

Зашифрованные файлы получают расширение .crypt

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

  Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Детект на VirusTotal >>>

Дополнение
Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .[4 random characters] — случайный четырехбуквенный разнорегистровый код, например, MnDf, PzZs, RThY. 

Степень распространенности: низкая.
Подробные сведения собираются. 

воскресенье, 15 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt

После шифрования удаляются все теневые копии файлов на всех дисках.

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов.

Сетевые подключения и связи:
См. ниже гибридный анализ.

Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016
Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware

Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.

Обновление от 24 ноября 2016:
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Новое расширение: .no_more_ransom
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT





***************************
Обновление от 14 апреля 2017:
Пост в Твиттере >>
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Расширение: .dexter
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 
***************************
Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG

Расширение: .crypted000007
<< Пример зашифрованных файлов



<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT

Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.



Внимание!

Для ранних версий есть декриптор

пятница, 30 октября 2015 г.

PowerShell Locker

PowerShell Ransomware 

PowerShell Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует посетить Tor-страницу, чтобы ознакомиться с условиями выкупа, оплатить его, получить ключ и декриптер, а затем с их помощью вернуть файлы. Название получил от того, что используются возможности Microsoft PowerShell

К сожалению, для всех пострадавших от действий этого криптовымогателя, нет возможности восстановить зашифрованные этим криптовымогателем файлы, т.к. в процессе программирования вымогателями были допущены ошибки, которые привели к тому, что данные безвозвратно испорчены. 

© Генеалогия: PowerShell Locker 2015 > PowerWare


Легитимный компонент в руках преступников — оружие!

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2015 - январь 2016 г. Ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру.

Записки с требованием выкупа и инструкциями называются:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt


Содержание записки README.txt:
Extract the .ps1 file and run with Powershell. 
Depending on the size of your system it may take either minutes to hours to complete decryption. 
You can use files again when DECRYPT_INSTRUCTION.html has been removed from folder.

Перевод записки на русский язык:
Извлеките файл .ps1 и работайте с Powershell.
Завися от размера вашей системы может занять от минут до часов на полную расшифровку.
Вы можете использовать файлы, если DECRYPT_INSTRUCTION.html удален из папки.


Содержание записок с инструкциями "DECRYPT_INSTRUCTION"
What happened to your files? 
All of your files were protected by a strong encryption with RSA-2048. 
 More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean? 
 This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. 
How did this happen? 
 Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. 
 All your files were encrypted with the public key, which has been transferred to your computer via the Internet. 
 Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.  
What do I do? 
 Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. 
 If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.  
For more specific instructions, please visit this home page: 
1.http://vswefkqsipoeuq5o.onion.nu 
 Please scroll below for your #UUID 
If for some reasons the address is not available, follow these steps: 
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: vswefkqsipoeuq5o.onion
 4. Follow the instructions on the site. 
IMPORTANT INFORMATION:
Your Home PAGE: http://vswefkqsipoeuq5o.onion.nu
Your Home PAGE(using TOR): vswefkqsipoeuq5o.onion
Please scroll below for your #UUID
Your #UUID is EFTK8odtw47RMslfhDWV2iL6c
Guaranteed recovery is provided before scheduled deletion of private key on the day of 01/01/2016 11:09:27 
The price to obtain the decrypter goes from 500 $ to 1000 $ on the day of 12/12/2015 11:09:27 

Кроме нижней части и веб-адресов на Tor-сайты, сама "инструкция" была заимствована вымогателями у криптовымогателя CryptoWall. 

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены с сильным шифрованием RSA-2048. 
Более подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: хттп://en.wikipedia.org/wiki/RSA_(cryptosystem) 
Что это значит?
Это означает, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете их восстановить. 
Как это произошло?
Специально для Вас, на нашем сервере был создан секретный ключ пары RSA-2048 - открытый и секретный. 
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на компьютер через Интернет. 
Дешифровать файлы можно лишь с помощью секретного ключа и декриптера, находящихся на нашем секретном сервере. 
Что мне делать?
Увы, если вы не примите нужные меры за определенное время, то будут изменены условия для получения секретного ключа. 
Если вы точно цените ваши данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет. 
Для подробных инструкций, пожалуйста, посетите страницу:
1.хттп://vswefkqsipoeuq5o.onion.nu 
Пожалуйста, прокрутите ниже для вашего #UUID
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите Tor-браузер: хттп://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации. 
3. Введите в адресной строке: vswefkqsipoeuq5o.onion
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша веб-страница: хттп://vswefkqsipoeuq5o.onion.nu
Ваша веб-страница (с помощью TOR): vswefkqsipoeuq5o.onion 
Пожалуйста, прокрутите ниже для вашего #UUID
Ваш #UUID это EFTK8odtw47RMslfhDWV2iL6c
Гарантированное восстановление до запланированного удаления секретного ключа до дня 01/01/2016 11:09:27
Цена за декриптер будет от 500 $ до 1000 $ в день 12/12/2015 11:09:27


Скриншот сайта оплаты

Содержание текста со страницы сайта оплаты:
Instructions to unlock your files / data:
1. Download and install the Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins. (check DECRYPT_INSTRUCTION.HTML for correct amount based on date) and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed earlier. From there, hit the "Send" tab Send the remaining BTC (bitcoin) to our Bitcoin-wallet address:
1Pw1Jin***
Now submit the form below, only if you've actually sent the Bitcoins Upon manual verification of the transaction you will receive the decrypter through email within 12 hours ALL of your files/data will then be unlocked and decrypted automatically.
Do NOT move files around or try to temper them in any way. because the decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again! If payment is not received within ten days (check DECRYPT_JNSTRUCTION HTML for date) the price for the decrypter is doubled Scheduled deletion of the key is after 30 days, we will not be able to recover files after this.
Your
BTC-address:
Your ID:
Your Email:
Submit

Перевод текста со страницы сайта оплаты:
Инструкции по разблокировке ваших файлы / данных:
1. Загрузите и установите приложение Multibit. Это даст вам свой адрес Bitcoin-кошелька. Вы можете найти его на вкладке "Request". Вставить это в поле "Your BTC-address" ниже.
2. Купите биткоины. (Проверьте в DECRYPT_INSTRUCTION.HTML корректность суммы по дате) и отправьте их на свой адрес Bitcoin-кошелька, они отобразятся в приложении Multibit, что вы установили ранее. Оттуда нажмите "Send" для отправки оставшихся BTC (Bitcoin) на адрес нашего Bitcoin-кошелька:
1Pw1Jin***
Теперь заполните форму ниже, только если вы уже послали биткоины после ручной проверки, из
сделки вы получите декриптер по email в течение 12 часов, все ваши файлы / данные будут
разблокированы и расшифрованы автоматически.
НЕ перемещайте файлы или пытайтесь их поправить каким-либо образом, потому что декриптер больше не будет работать
Пожалуйста, помните, что это единственный способ, чтобы снова получить доступ к вашим файлам! Если платеж не получен в течение десяти дней (проверьте DECRYPT_JNSTRUCTION HTML по дате) цена на декриптер удваивается, по расписанию удаление ключа через 30 дней, мы не сможем восстановить файлы после этого.
Ваш BTC-адрес:
Ваш ID:
Ваш Email:
Отправить

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd,.pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (450 расширений).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***vswefkqsipoeuq5o.onion
***lgemfolpt5ntjaot.onion

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up on BC
 ID Ransomware (ID PowerShell Locker)
 Topic on BC
 *
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 30 мая 2015 г.

Locker 2015

Locker Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. На уплату выкупа давалось 72 часа, после чего сумма выкупа увеличивалась до 1 биткоина. Название оригинальное. На экранах блокировки отображались версии со случайными номерами: Locker 1.7, 1.91, 2.62 и 2.89. 

© Генеалогия: не указана.

К зашифрованным файлам никакое расширение не добавлялось. Во всяком случае, источник его не указал. 

Активность этого крипто-вымогателя пришлась на конец мая 2015 г. (с 25 по 30 мая). Ориентирован был на англоязычных пользователей. 

30 мая 2015 г. разработчик Locker Ransomware выпустил дамп всех закрытых ключей дешифрования вместе с извинениями. 
I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile.
Перевод на русский: 
Я сожалею о шифровании, ваши файлы будут разблокированы бесплатно. Будьте добры к миру и не забывайте улыбаться.

Он также написал 2 июня, что если у кого-то из пользователей ещё имеет место эта инфекция, то будет бесплатно выполняться автоматическая расшифровка зашифрованных файлов. Когда закрытые ключи дешифрования стали доступны, специалистами BleepingComputer был создан декриптор Locker Unlocker для бесплатной дешифровки файлов. 

Записками с требованием выкупа выступал экран блокировки с заголовком Locker v1.7. Я соединил четыре скриншота с окнами в один с анимацией. 

Содержание текста о выкупе:
***
Перевод текста на русский язык:
***

Устанавливался в качестве шифровальщика-вымогателя с помощью Trojan.Downloader, ранее загруженного и тайно установленного в качестве службы Windows в C:\Windows\SysWow64 со случайным именем файла, например, solaraddtogs.exe или twitslabiasends.exe. Известные случаи установки через взломанную версию Minecraft - файл MinecraftChecksumValidator.exe. 

Распространяться мог с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что при поиске файлов для шифрования Locker искал только расширения, написанные в нижнем регистре и использовал регистрозависимое сравнение строк, таким образом файлы с расширением .jpg шифровались, а файлы с .JPG - не шифровались. 

Locker Ransomware завершал работу следующих запущенных процессов:
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall

Locker сканировал все буквы дисков на компьютере, включая съемные диски, сетевые ресурсы и подключенные хранилища Dropbox. 

Удалял теневые копии файлов командой:
vssadmin.exe delete shadows /for=C: /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
C:\ProgramData\Steg\
C:\ProgramData\Steg\steg.exe
C:\ProgramData\rkcl
C:\ProgramData\rkcl\ldr.exe
C:\ProgramData\rkcl\rkcl.exe 
C:\ProgramData\-
C:\ProgramData\Tor\ 
C:\ProgramData\Digger
C:\Windows\SysWow64\<random>.exe
C:\Windows\SysWow64\<random>.bin 
C:\Windows\SysWow64\<random>.dll
C:\Windows\System32\<random>.bin

В папке rkcl находятся файлы:
data.aa0 - содержит список зашифрованных файлов;
data.aa1 - назначение неизвестно;
data.aa6 - уникальный Bitcoin-адрес жертвы;
data.aa7 - ключ RSA, но не ключ дешифрования;
data.aa8 - содержит номер версии Locker;
data.aa9 - дата запуска вымогателя на ПК;
data.aa11 - назначение неизвестно;
data.aa12 - назначение неизвестно;
priv.key - содержит закрытый ключ дешифрования, который можно использовать для дешифровки файлов; появляется только после уплаты выкупа.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Kaspersky Application Advisor >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up 
 *
 *
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 мая 2015 г.

ToxCrypt, Tox

ToxCrypt Ransomware

Tox Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно.  Для генерации ключей шифрования используется Microsoft CryptoAPI. К зашифрованным файлам добавляется расширение  .toxcrypt. Подробно описан TrendMicro в мае 2015 года. 

Записка о выкупе называется tox.html

  Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\. 

  В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой. 

Установленные фалы вымогателя: 
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip

Список файловых расширений, подвергающихся шифрованию:
 .3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений). 

Степень распространенности: средняя.
Подробные сведения собираются. 

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *