Если вы не видите здесь изображений, то используйте VPN.

среда, 29 марта 2017 г.

DoNotChange

DoNotChange Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в $250 - $400, чтобы вернуть файлы. Оригинальное название. Написан на AutoIt. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону 
[original_file_name].id-[ID_victim].cry

Например для жертвы с ID 7ES642406 файлы будут иметь вид
[original_file_name].id-7ES642406.cry
testtar.tar.id-7ES642406.cry
powerpnt.ppt.id-7ES642406.cry
news.png.id-7ES642406.cry
LICENSE.txt.id-7ES642406.cry
netmeet.htm.id-7ES642406.cry 


DoNotChange Ransomware
Примеры зашифрованных файлов и записка о выкупе

Второй вариант этого вымогателя использует расширение: .Do_not_change_the_file_name.cryp

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском
DoNotChange Ransomware

Содержание записки о выкупе:
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $250 and
You need to send the personal code:
7ES642406
To the email address tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Then you will receive all the necessary instructions.
Attempts to decipher independently wi11 not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter other email services.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
install it and type the following address into tne address bar:
http://5akvz3kp6qbqmpoo.onion/
Thank you for your attention and have a good day.
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************

Перевод записки на русский язык (оригинальный, все ошибки грамотеев-вымогателей сохранены!!!):
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~250$ для этого
Вам необходимо отправить код:
7ES642406
На электронный адрес tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Расшифровка без уникального ключа не возможна, все доступные декодоры для вас без полезны.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Если вы не получили ответа по вышеуkазанным адресам в течение 48 часов (и тольkо в этом случае!), Скачайте и установите Tor Browser по ссылkе:
https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://5akvz3kp6qbqmpoo.onion/
Спасибо за внимание и хорошего Вам дня.
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************

👉 Примечательно, что в русскоязычном варианте записки дюжина ошибок, не считая замены русских букв английскими. Этот способ был ранее использован в других вымогательских кампаниях. 

 Второй вариант записок на английском и русском языках, того же вымогателя, который добавляет расширение .Do_not_change_the_file_name.cryp
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $400 and
You need to send the personal code:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
To the email address robert.swat@qip.ru
Then you will receive all the necessary instructions.
Attempts to decipher independently will not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter  other email services.
Thank you for your attention and have a good day.
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~400$ для этого Вам необходимо отправить код:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
На электронный адрес tom.anderson@india.com,DE_CODER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Спасибо за внимание и хорошего Вам дня.
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!  
************************************************************


Tor-сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

UAC не обходит. Требуется разрешение пользователя на запуск вредоноса. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1cd, .3dp, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .avi, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .htm, .html, .igs, .java, .jpeg, .jpg, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mp4, .mpeg, .msf, .msg, .mxl, .myd, .myi, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdf, .pdm, .pdn, .phm, .pl, .png, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .txt, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (193 расширения).  

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECODE FILES!!!.txt
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt
<random>.exe
+ извлекается множество файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
tom.anderson@india.com
DE_CODER@mail2tor.com
scryptx@meta.ua
robert.swat@qip.ru - почта из второго варианта
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 26 июня 2017:
Записки: 
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском
Расширение: .id-4R4NZ0109.cry
Целевые типы файлов:
 1cd, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .igs, .java, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mpeg, .msf, .msg, .mxl, .myd, .myi, .myo, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdm, .pdn, .phm, .pl, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .spf, .spi, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (185 расширений). 
Результаты анализов: HA+VT

Внимание! 
Если у вас ID 7ES642406, то можно дешифровать файлы!
По дешифровке файлов пишите в тему на форуме BC >>

Attention!
For decryption, please contact in the BC-forum topic >>
The victims with ID 7ES642406 are in the first place!!!
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as DoNotChange)
 Write-up, Topic on BC
 Video review
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 Thyrex, Karsten Hahn‏ 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *