вторник, 31 января 2017 г.

CryptoShield 1.0

CryptoShield 1.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, версия записана как CryptoShield 1.0. Фальш-имя: Windows Winlog. 

© Генеалогия: CryptoMixCryptoShield 1.0 CryptoShield 2.0

К зашифрованным файлам добавляется расширение .CRYPTOSHIELD
Записки о выкупе и зашифрованные файлы

Более того, имена файлов шифруются используя ROT-13, а уже затем к зашифрованному и переименованному таким образом файлу добавляется расширение .CRYPTOSHIELD

Например, файл с именем test.jpg будет зашифрован и переименован в grfg.wct.CRYPTOSHIELD 

Вы можете расшифровать имена файлов с помощью любого РОТ-13 онлайн-шифратора, например, rot13.com

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
# RESTORING FILES #.txt
# RESTORING FILES #.html

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE http://translate.google.com
What happened to you files?
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 1.0.
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
Specially for your PC was generated personal RSA-2048 KEY, both public and private.
ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
To receive your private software:
Contact us by email , send us an email your (personal identification) ID number and wait for further instructions.
Our specialist will contact you within 24 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. 
This will be your guarantee.
Please do not waste your time! You have 72 hours only! After that The Main Server will double your price!
So right now You have a chance to buy your individual private SoftWare with a low price!
CONTACTS E-MAILS:
restoring_sup@india.com - SUPPORT;
restoring_sup@computer4u.com - SUPPORT RESERVE FIRST;
restoring_reserve@india.com - SUPPORT RESERVE SECOND;
ID (PERSONAL IDENTIFICATION): *****

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ http://translate.google.com
Что случилось с вашими файлы?
Все файлы были зашифрованы CryptoShield 1.0 с помощью надежного шифрования RSA-2048.
Подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA (криптосистема)
Как это произошло?
Специально для вашего ПК был создан личный RSA-2048 ключ, открытый и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на ваш компьютер через Интернет.
Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки, которая есть на нашем секретном сервере.
Что мне делать?
Есть два способа, на ваш выбор: ждать чуда и увеличить цену в два раза, или отправить email для получения подробных инструкций...

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, JavaScript и эксплойтов (в данном случае с помощью RIG и EITest) на взломанных сайтах, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также используется известная цепочка заражений EITest, когда злоумышленниками сначала компрометируется большое количество сайтов (под управлением WordPress и Joomla), эксплуатируя известные уязвимости, затем небольшая часть трафика с зараженных ресурсов перенаправляется на вредоносные страницы, подвергая посетителей атакам наборами эксплойтов и заражая их различными вредоносами. 

После шифрования отключаются опции восстановления системы на этапе загрузки и точки восстановления системы, и удаляются теневые копии файлов, командами:
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss

Добавляет себя в Автозагрузку системы. Нерестит много процессов.

CryptoShield будет отображать поддельные оповещения об ошибке в Explorer.exe. Если внимательно прочитать предупреждение, то можно увидеть орфографические ошибки и ломаный английский. Об этом сообщили Лоуренс Адамс в статье о CryptoShield. 

Список файловых расширений, подвергающихся шифрованию:
.1CD, .3DM, .3DS, .3FR, .3G2, .3GP, .3PR, .7Z, .7ZIP, .AAC, .AB4, .ABD, .ACC,.ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ACT, .ADB, .ADP, .ADS, .AGDL, .AI, .AIFF, .AIT, .AL, .AOI, .APJ, .APK, .ARW, .ASCX, .ASF, .ASM, .ASP, .ASPX, .ASSET, .ASX, .ATB, .AVI, .AWG, .BACK, .BACKUP, .BACKUPDB, .BAK, .BANK, .BAY, .BDB, .BGT, .BIK, .BIN, .BKP, .BLEND, .BMP, .BPW, .BSA, .C, .CASH, .CDB, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFG, .CFN, .CGM, .CIB, .CLASS, .CLS, .CMT, .CONFIG, .CONTACT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CRY, .CS, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DB .DB_JOURNAL, .DB3, .DBF, .DBX, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DDS, .DEF, .DER, .DES, .DESIGN, .DGC, .DGN, .DIT, .DJVU, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DTD, .DWG, .DXB, .DXF, .DXG, .EDB, .EML, .EPS, .ERBSQL, .ERF, .EXF, .FDB, .FFD, .FFF, .FH, .FHD, .FLA, .FLAC, .FLB, .FLF, .FLV, .FLVV, .FORGE, .FPX, .FXG, .GBR, .GHO, .GIF, .GRAY, .GREY, .GROUPS, .GRY, .H, .HBK, .HDD, .HPP, .HTML, .IBANK, .IBD, .IBZ, .IDX, .IIF, .IIQ, .INCPAS, .INDD, .INFO, .INFO_, .IWI, .JAR, .JAVA, .JNT, .JPE, .JPEG, .JPG, .JS, .JSON, .K2P, .KC2, .KDBX, .KDC, .KEY, .KPDX, .KWM, .LACCDB, .LBF, .LCK, .LDF, .LIT, .LITEMOD, .LITESQL, .LOCK, .LTX, .LUA, .M, .M2TS, .M3U, .M4A, .M4P, .M4V, .MA, .MAB, .MAPIMAIL, .MAX, .MBX, .MD, .MDB, .MDC, .MDF, .MEF, .MFW, .MID, .MKV, .MLB, .MMW, .MNY, .MONEY, .MONEYWELL, .MOS, .MOV, .MP3, .MP4, .MPEG, .MPG, .MRW, .MSF, .MSG, .MTS, .MYD, .ND, .NDD, .NDF, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NVRAM, .NWB, .NX2, .NXL, .NYF, .OAB, .OBJ, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .OGG, .OIL, .OMG, .ONE, .ORF, .OST, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAB, .PAGES, .PAS, .PAT, .PBF, .PCD, .PCT, .PDB, .PDD, .PDF, .PEF, .PFX, .PHP, .PIF, .PL, .PLC, .PLUS_MUHD, .PM!, .PM, .PMI, .PMJ, .PML, .PMM, .PMO, .PMR, .PNC, .PND, .PNG, .PNX, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIVATE, .PS, .PSAFE3, .PSD, .PSPIMAGE, .PST, .PTX, .PUB, .PWM, .PY, .QBA, .QBB, .QBM, .QBR, .QBW, .QBX, .QBY, .QCOW, .QCOW2, .QED, .QTB, .R3D, .RAF, .RAR, .RAT, .RAW, .RDB, .RE4, .RM, .RTF, .RVT, .RW2, .RWL, .RWZ, .S3DB, .SAFE, .SAS7BDAT, .SAV, .SAVE, .SAY, .SD0, .SDA, .SDB, .SDF, .SH, .SLDM, .SLDX, .SLM, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SQLITE-SHM, .SQLITE-WAL, .SR2, .SRB, .SRF, .SRS, .SRT, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STL, .STM, .STW, .STX, .SVG, .SWF, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .TAX, .TBB, .TBK, .TBN, .TEX, .TGA, .THM, .TIF, .TIFF, .TLG, .TLX, .TXT, .UPK, .USR, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .VOB, .VPD, .VSD, .WAB, .WAD, .WALLET, .WAR, .WAV, .WB2, .WMA, .WMF, .WMV, .WPD, .WPS, .X11, .X3F, .XIS, .XLA, .XLAM, .XLK, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XPS, .XXX, .YCBCRA, .YUV, .ZIP (453 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Файлы и папки, связанные с этим Ransomware:
# RESTORING FILES #.html
# RESTORING FILES #.txt
CryptoShield.tmp.exe
da98d21ebd555c4b_rada5971.tmp.exe
net1.exe
<random>.exe
<random>.tmp.exe
<random>.temp
recovery.js.tmp
recovery.js
C:\ProgramData\MicroSoftWare\
C:\ProgramData\MicroSoftWare\SmartScreen\
C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe
%AppData%\Roaming\1FAAXB2.tmp
<encrypted_file_name>.CRYPTOSHIELD
%ALLUSERSPROFILE%\Mozilla\logs\znvagranaprfreivpr-vafgnyy.ybt.XAXAX0X0
%ALLUSERSPROFILE%\Sun\Java\Java Update\wnhertyvfg.kzy.XAXAX0X0
%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\0DYVMIYVVT5ZUKSM3LJB.temp
%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\3ASNQR8YK4UJIPIZSGPI.temp
и другие. 

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows SmartScreen" = "C:\ProgramData\MicroSoftWare\SmartScreen\SmartScreen.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
104.238.188.209:80 - США
52.27.41.168:443 - США
54.240.162.240 - США
***45.76.81.110/test_site_scripts/moduls/get_info.php
restoring_sup@india.com
restoring_sup@computer4u.com
restoring_reserve@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Обновление от 3 и 7 февраля 2017:
Версия: CryptoShield 1.1
Файл: <random>.tmp.exe, jquery.exe
Фальш-имена:  ScreenSmarts, Windows Winlog SoftWare
Результаты анализов: VTVT

Обновление от 14 февраля 2017:
CryptoShield 2.0 Ransomware >> 


Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptoShield)
 Write-up + Tweet (add. February 6, 2017)
Added later:
Write-up (add. February 1, 2017)
Video review (add. February 2, 2017)
 Thanks: 
 James, GrujaRS
 Michael Gillespie, Lawrence Abrams
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

Netflix

Netflix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп биткоинах, равнозначный $100 (~0,18 BTC), чтобы вернуть файлы. Название указано в обзоре TrendMicro. Среда разработки: Visual Studio 2015. Фальш-имя: Netflix Login Generator v1.1


© Генеалогия: выясняется.


Netflix — американская компания, поставщик фильмов и сериалов на основе потокового мультимедиа. Netflix работает на различных устройствах и приложениях: Smart TV, Windows Phone, Android, iOS, PC, Mac OS, Nintendo Wii, Nintendo Wii U, PlayStation 3, Xbox 360, PlayStation Vita, Nintendo 3DS, PlayStation 4 и Xbox One. Netflix имеет 93 миллиона абонентов в более чем 190 странах мира, потому киберпреступники захотели "кусок от пирога". Компания Netflix предлагает бесплатный просмотр фильмов в течение месяца со дня регистрации. Потом нужно приобрести подписку и ввести код. На этом сыграли вымогатели, распространяющие под видом генератора кода вредоносные приложения, в числе Netix (Netflix) Ransomware. 


Ранее я уже рассказывал о подобном использовании известного бренда для распространения крипто-вымогателя PopcornTime Ransomware


К зашифрованным файлам добавляется расширение .se

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются Instructions.txt и размещаются на рабочем столе жертвы. 


Также используется скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
#########################
#****************************#
#########################
All of your files have been encrypted with a military-grade encryption algorithm (AES 256)
The only way to get your files back is to visit in *** your web browser to buy the decryption key.
To purchase Bitcoin, please register an account with a Bitcoin wallet such as the
Coinbase iPhone and Android app and buy $100 worth of Bitcoin, which is -0.18 BTC.
When you visit the website, enter this ID: 17 to get your decryption key.
After you have received your decryption key, open the SE Decrypter program and enter the key that you received. Your files will then be decrypted.

Перевод записки на русский язык:
Все файлы были зашифрованы с алгоритмом шифрования военного класса (AES 256)
Единственный способ получить файлы обратно, это открыть *** в вашем веб-браузер, чтобы купить ключ дешифрования.
Для покупки биткоинов, пожалуйста, зарегистрируйте Bitcoin-кошелёк, такие как Coinbase iPhone и Android app и купить Bitcoin на сумму $100, которая ~0,18 BTC.
Когда вы посетите веб-сайт, введите этот ID: 17, чтобы получить ключ дешифрования.
После того, как вы получили ключ дешифрования, откройте программу SE Decrypter и введите ключ, который вы получили. Ваши файлы будут расшифрованы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Окно вымогателя, выдающим себя за генератор


Результат работы "генератора"

Разумеется, он ничего на самом деле не генерирует, т.к. в него вшита только одна учетная запись. А в это время производится реальное шифрование файлов жертвы. 

Примечательно, что этот крипто-вымогатель завершает работу, если ОС не является Windows 7 или Windows 10.

Список файловых расширений, подвергающихся шифрованию:
.ai, .asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .epub, .flp, .flv, .gif, .html, .itdb, .itl, .jpg, .m4a, .mdb, .mkv, .mp3, .mp4, .mpeg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .sql, .txt, .wma, .wmv, .xls, .xlsx, .xml, .zip (39 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.


Файлы, связанные с этим Ransomware:

Netflix Login Generator v1.1.exe (Netflix Gen.exe) - исполняемый файл вымогателя;
netprotocol.exe - копия исполняемого файла;
Instructions.txt - записка о выкупе;
man.log - лог работы;
SE Decrypter - декриптер от вымогателей. 

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

108.61.173.155:80 - США
См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.

Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 Write-up  + Write-up
 ID Ransomware (ID as Netix)
 Thanks: 
 Karsten Hahn
 Trend Micro
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SureRansom

SureRansom Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует жёсткий диск с помощью AES-256, а затем требует выкуп в £50, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

Обман. Файлы не шифруются.

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Hard Drive Encrypted
Your files have been encrypted with AES256 and cannot be recovered without the key.
To purchase the key click the link below
TURNING OFF THE WORKSTATION WILL RENDER ALL DATA UNREADABLE!
---
Confirm Payment
Using stored passwords, £50 will be charged to one of your accounts
Purchase Key (£50)
I don't want mv data
:)
---
Thanks!
Payment has now been taken and your files have been unencrypted.
:)

Перевод записки на русский язык:
Жёсткий диск зашифрован
Ваши файлы зашифрованы с AES256 и не могут быть восстановлены без ключа.
Для покупки ключа нажмите на ссылку ниже
ВЫКЛЮЧЕНИЕ РАБОЧЕЙ МАШИНЫ СДЕЛАЕТ ВСЕ ДАННЫЕ НЕЧИТАЕМЫМИ!
---
Подтверждение оплаты
Используйте сохраненные пароли, £50 будут сняты с одного вашего аккаунта
Покупка ключа (£ 50)
Мне не нужны мои данные
:)
---
Благодарим!
Оплата была принята и ваши файлы уже в незашифрованном виде.
:)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр., если файлы действительно будут шифроваться. 

Файлы, связанные с этим Ransomware:
SureRansom.exe
sure.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://46.101.30.120/*** (Нидерланды)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Video review
 Tweet on Twitter
 Write-up (n/a)
 *
 *
 Thanks: 
 GrujaRS
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zyka

Zyka Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 170 USD / 170 EUR, чтобы вернуть файлы. Название оригинальное, указано в тексте экрана блокировки. Другое на файле: DO NOT OPEN THE FUCKIN RANSOMWARE.exe. Разработчик: Ferial. 

© Генеалогия: EnkripsiPC <=> Manifestus  > Zyka

К зашифрованным файлам добавляется расширение .lock

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
You are the victim of Zyka
Your important files encryption produced on this computer: photos, videos, documents etc. Here is a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key AES that generated for this computer. To decrypt your files you need to obtain the private key. 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet, the server will destroy the key after 72 hours. 
After that nobody and never will be able to restore files. 
To obtain the private key for this computer which will automatically decrypt files, you need to pay 170 USD /170 EUR to the bitcoin wallet below. 
1GmGBH9ra2dqA8C***
It you do not have bitcoins you can buy them from localbitcoins.com
Thank you!

Перевод текста на русский язык:
Вы стали жертвой Zyka
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Здесь вы можете найти полный перечень зашифрованных файлов и лично убедиться в этом.
Шифрование было произведено с уникальным открытым AES-ключом, созданным для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Единственный экземпляр открытого ключа, который позволит вам расшифровать файлы, находится на секретном сервере в сети Интернет, сервер уничтожит ключ через 72 часа.
После этого никто и никогда не сможет восстановить файлы.
Для получения секретного ключа для этого компьютера, который автоматически расшифрует файлы, вам придется заплатить 170 USD / 170 EUR на Bitcoin-бумажник ниже.
1GmGBH9ra2dqA8C ***
Если у вас нет биткоинов, вы можете купить их на localbitcoins.com
Спасибо!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
DO NOT OPEN THE FUCKIN RANSOMWARE.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Video review
 ID Ransomware (n/a)
 Write-up (n/a)
 Thanks: 
 GruyaRS
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 30 января 2017 г.

7zipper

7zipper Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы вернуть файлы. Название получил от добавляемого к файлам расширения. Для запирания файлов используются возможности архиватора 7-Zip, в их числе шифрование AES-256 и парольная защита. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .7zipper

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Saiba como recuperar seus arquivos.txt

Содержание записки о выкупе:
Sua chave é:
7zippedOWM4NjU***
Para recuperar seus arquivos, entre em contato pelo email enviando sua chave:
zipper@email.tg

Перевод записки на русский язык:
Ваш ключ:
7zippedOWM4NjU***
Для возврата файлов, войдите в контакт с нами, пришлите ключ на email:
zipper@email.tg

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Saiba como recuperar seus arquivos.txt
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
zipper@email.tg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as 7zipper)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 29 января 2017 г.

XCrypt

XCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Twofish (не AES!), а затем требует связаться с вымогателем по ICQ, чтобы вернуть файлы. Название можно назвать оригинальным, если посчитать буквой "X" некое похожее изображение перед словом Crypt. Написан на Delphi.

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение НЕ добавляется. 

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл изображения Xhelp.jpg

Содержание записки о выкупе:
Ваш компьютер был взломан! XCrypt
Все Ваши файлы теперь зашифрованы.
К сожалению для Вас, программисты и полиция не смогут Вам помочь.
Для расшифровки обратитесь к оператору по ICQ.
ВАЖНО! Запишите номер нашей ICQ 714 595 302
Ярлык этого окна создан на Вашем рабочем столе, но Вы можете удалить его и потеряете наши контакты, следовательно потеряете все Ваши файлы.
icq 714 595 302

Перевод записки на русский язык:
уже сделан вымогателями. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и другие типы файлов. 

Файлы, связанные с этим Ransomware:
svst.exe
Xhelp.jpg и Xhelp.jpg.lnk
X.exe
<random>.exe
9999.tmp
base.temp
keyid.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***api.telegram.org (149.154.167.200:443 - Великобритания)
***.indyproject.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Video review
 Thanks: 
 Jakub Kroustek
 GrujaRS
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RansomPlus

RansomPlus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,25 биткоинов, чтобы вернуть файлы. Название оригинальное. Разработчик: sergej. Среда разработки: visual studio 2015.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR FILES ARE ENCRYPTED!!!.txt

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!!!
To restore (decrypt) them you must:
1. Pay 0.25 bitcoin (btc) to address 36QLSB***
You can get BTC on this site http://localbitcoins.com
2. After payment you must send Bitcoin Transacation ID to E-mail: andresaha82@gmail.com
Then we will send you decryption tool.

Перевод записки на русский язык:
Ваши файлы зашифрованы!!!
Для их восстановления (расшифровки) нужно выполнить следующее:
1. Заплатить 0,25 Bitcoin (BTC) на адресс 36QLSB ***
Вы можете получить BTC на этом сайте xxxx://localbitcoins.com
2. После оплаты нужно отправить ID транзакции Bitcoin на email: andresaha82@gmail.com
Тогда мы вышлем вам декриптор.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
YOUR FILES ARE ENCRYPTED!!!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
 andresaha82@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RansomPlus)
 Write-up (n/a)
 *
 *
 Thanks: 
 Jiri Kropac
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton