понедельник, 10 июля 2017 г.

Bitpaymer

Bitpaymer Ransomware

WPEncrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные компьютеров в предприятиях и организациях, а затем требует выкуп в 50 BTC за все компьютеры в сети, чтобы вернуть файлы. Оригинальное название: Bit paymer. На файле написано: apisetstub, ApiSet Stub DLL или NlsData081a. Фальш-копирайт: Microsoft. Судя по одному из образов, название проекта: wp_encrypt. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: .readme_txt
С точкой потому, что она добавляется к каждому зашифрованному файлу как расширение. 

Содержание текста о выкупе: 
YOUR COMPANY HAS BEEN SUCCESSFULLY PENETRATED!
DO NOT RESET OR SHUTDOWN - files may be damaged. DO NOT TOUCH this file.
All files are encrypted, we accept only bitcoins to share the decryption software for your network.
Also, we have gathered all your private sensitive data.So if you decide not to pay anytime soon, we would share it with media's.
It may harm your business reputation and the company's capitalization fell sharply.
Do not try to do it with 3rd-parties programs, files might be damaged then.
Decrypting of your files is only possible with the special decryption software.
To receive your private key and the decryption software please follow the link (using tor2web service):
https://qmnmrba4s4a3py6z.onion.to/order/***
If this address is not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: http://gmnmrba4s4a3py6z.onion/order/***
4. Follow the instructions on the site
5. This link is valid for 72 hours only. Afetr that period your local data would be lost completely.
6. Any questions: 15010050@tutamail.com
KEY:***

Перевод на русский язык:
ВАША КОМПАНИЯ БЫЛА УСПЕШНО ПЕНЕТРИРОВАНА! 
Все файлы зашифрованы. Мы принимаем только биткоины для раздачи программы дешифрования по вашей сети. 
Кроме того, мы собрали все ваши конфиденциальные данные. 
Поэтому, если вы вскоре не заплатите, мы распределим...
 Это может нанести вред вашей деловой репутации, и капитализация компании резко упадёт.
Не пытайтесь делать это с помощью сторонних программ, тогда файлы могут быть повреждены.
Расшифровка ваших файлов возможна только с помощью специальной программы для дешифрования.
Чтобы получить свой секретный ключ и программу для дешифрования, перейдите по ссылке (используя службу tor2web):
https://qmnmrba4s4a3py6z.onion.to/order/***
Если этот адрес недоступен, выполните следующие действия:
1. Загрузите и установите Tor-браузер: https://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: http://gmnmrba4s4a3py6z.onion/order/***
4. Следуйте инструкциям на сайте
5. Эта ссылка действительна только в течение 72 часов. По их их истечении ваши локальные данные будут полностью потеряны.
6. Любые вопросы: 15010050@tutamail.com
Ключ:***




Скриншоты с сайта уплаты выкупа

Содержание текста на сайте для выкупа:
Welcome to the ransom page!
To get the decryption software and the private key  for every single infected computer in your network please follow the on-screen instructions on how to buy and send the Bitcoin's:
1. Please register a Bitcoin wallet. Here are the options:
    - Blockchain Online Wallet (the easiest way)
    - Other options (for advanced users)
    - Send via Bitcoin exchanger directly to the ransom wallet.
2. To buy the Bitcoins please use either of options below:
    - localBitcoins.com             Buy Bitcoins with Western Union and several alternative methods.
    - btc-e.com                        Western Union, Cash, Bank Wire, etc.
    - coincafe.com                     Recommended for fast, simple service.
    - coinbase.com                 Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: 
Bitcoin ATM, in person.
    - localBitcoins.com             Service allows you to search for people in your community willing to sell Bitcoins to you directly.
    - cex.io                         Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    - btcdirect.eu                     The best for Europe.
    - bitquick.co                     Buy Bitcoins instantly for cash.
    - howtobuyBitcoins.info         An international directory of Bitcoin exchanges.
    - cashintocoins.com             Bitcoin for cash.
    - coinjar.com                     CoinJar allows direct Bitcoin purchases on their site.
    - anxpro.com
    - bittylicious.com
3. Get bitcoin wallet for payment (bitcoin address valid for 12 hours, if 12 hours passed please get the new wallet)
4. Send 50 BTC  to the bitcoin address
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (must be sent in 1 transaction!)
Please note that we require 3 Bitcoin transaction confirmations.
    - To view the current status of your transaction please follow the link: 
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - Once the transaction passed 3 confirmations please refresh the page and you will be granted to download the decryption software
    - If something goes wrong please contact us via email: 17042102@tutamail.com
    - We can decrypt 2-3 non-important light-weight files before you pay, send'em to email: 17042102@tutamail.com
4. Please be advised that the ransom amount may be raised after 48 hours since your first visit if no payment received. 
In 7 days this link would be deleted, so all your information could be lost.
    Your company is secure enough, but we may tell you what is wrong after payment being processed. Good Luck!

Перевод текста на сайте на русский язык:
Добро пожаловать на страницу выкупа!
Чтобы получить программу для дешифрования и закрытый ключ для каждого отдельного зараженного компьютера в вашей сети, следуйте инструкциям на экране о том, как купить и отправить биткойны:
1. Пожалуйста, зарегистрируйте Bitcoin-кошелек. Вот варианты:
    - Сетевой кошелек Blockchain (самый простой способ)
    - Другие варианты (для продвинутых пользователей)
    - Отправьте через Bitcoin-обменник прямо в кошелек для выкупа.
2. Чтобы купить биткойны, пожалуйста, используйте один из следующих вариантов:
    - localBitcoins.com - Купить биткойны с Western Union и несколько альтернативных методов.
    - btc-e.com - Western Union, Cash, Wire Wire и т. Д.
    - compatafe.com - Рекомендуется для быстрого и простого обслуживания.
    - coinbase.com - Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC:
Bitcoin ATM, лично.
    - localBitcoins.com - сервис помогает найти людей в вашем сообществе, готовых напрямую продать Bitcoins.
    - cex.io - Купить биткойны с VISA / MASTERCARD или банковским переводом.
    - btcdirect.eu - Лучшее для Европы.
    - bitquick.co - Купить биткойны мгновенно за наличные.
    - howtobuyBitcoins.info - Международный справочник бирманских бирж.
    - cashintocoins.com - биткойны за наличные.
    - coinjar.com - CoinJar - позволяет напрямую покупать биткойны на своем сайте.
    - bittylicious.com
3. Получите биткойн-кошелек для оплаты (биткойн-адрес действителен 12 часов, если прошло 12 часов, получите новый кошелек)
4. Отправьте 50 BTC на биткойн-адрес 
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (должен быть отправлен в 1 транзакции!)
Обратите внимание, что нам требуется 3 подтверждения транзакции Bitcoin.
    - Чтобы просмотреть текущий статус транзакции, перейдите по ссылке:
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - После того, как транзакция прошла 3 подтверждения, пожалуйста, обновите страницу, и вам будет предоставлена ​​возможность загрузить программное обеспечение для дешифрования
    - Если что-то пойдет не так, свяжитесь с нами по email: 17042102@tutamail.com
    - Мы можем расшифровать 2-3 важных файла с легким весом, прежде чем вы заплатите, отправьте по email: 17042102@tutamail.com
4. Пожалуйста, имейте в виду, что сумма выкупа может быть увеличена через 48 часов с момента вашего первого посещения, если платеж не получен.
Через 7 дней эта ссылка будет удалена, поэтому вся ваша информация может быть потеряна.
    Ваша компания достаточно безопасна, но мы можем сказать вам, что не так после обработки платежа. Удачи!

Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
 ... .bmp, .doc, .gif, .jpg, .mp3, .pdf, .png   ...
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<file_name>.readme_txt
<random>.exe
<random>.tmp

Странные файлы:
g7jPtkL61MJlOuA5XHbLrCZK.oBu
kyrq0FRS37EmB.siS
l2mxwrZNwyVO0y8EAMTy.d7A

Расположения:
%LOCALAPPDATA%\\random\<random>.exe

Временные файлы, подлежащие удалению:
%LOCALAPPDATA%\dIPNflS\s2h56FV.exe
%LOCALAPPDATA%\UxBmpV3\tYXbzc.exe
%TEMP%\CZ5EAC.tmp
%TEMP%\Gb5EE9.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://qmnmrba4s4a3py6z.onion/order/43e4593a-5dc7-11e7-8803-00163e417ea3***
BTC: 15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
Email: 17042102@tutamail.com

15010050@tutamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Bitpaymer)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Jakub Kroustek
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *