вторник, 10 октября 2017 г.

BugWare

BugWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA для ключа, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BugWare. На файле написано: PDF DOCUMENT и doc_2017100200000-15.pdf.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону .[SLAVIC@SECMAIL.PRO].BUGWARE
Изображение жука в шифровальщике

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует. Текст о выкупе скрыт в экране блокировки. 

Запиской с требованием выкупа выступают экран блокировки и изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
Olá,
Infelizmente, todos seus arquivos pessoais e banco de dados foram criptografados com algoritmos usados pelo governo com uma chave de 256 bits, mas não se assuste, ha uma solução fácil e segura para obter seus arquivos de volta, pagando a quantia de MIL REAIS em uma moeda virtual chamada MONERO para o Endereço que se encontra logo acima.
-
Assim que o você fizer o pagamento envie para o meu Email o codigo gerado na transação junto com a Sua Identificação que se encontra logo acima e também a senha criptografada com RSA-2048 que se encontra no campo de texto acima.
-
Atenção:
Não perca seu tempo procurando soluções para descriptografar de graça os arquivos usando programas na INTERNET,eles corromperão seus arquivos tornando a descriptografia impossivel mesmo com a chave correta.
VOCÊ TEM APENAS 72HORAS PARA FAZER 0 PAGAMENTO E DESCRIPTOGRAFAR SEUS ARQUIVOS CASO CONTRARIO SEUS ARQUIVOS SERÃO APAGADOS!
-
COMO COMPRAR MONERO:
Para comprar monero você precisa comprar bitcoins, use o site https://foxbit.com.br/ 
para comprar bitcoin,depois de comprado,compre o monero com seu bitcoin no site https://poloniex.com/
Abaixo alguns tutoriais no youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
CASO QUEIRA PAGAR EM OUTRA CRIPTOMOEDA ENTRE EM CONTATO PELO EMAIL ACIMA!
-

Перевод текста на русский язык:
Привет,
К сожалению, все ваши личные файлы и базы данных были зашифрованы с помощью правительственных алгоритмов с ключом 256-бит, но не паникуйте, есть простое и безопасное решение для возврата ваших файлов путем оплаты тысячи реалов в одну виртуальную валюту, называемую MONERO, на адрес, который находится чуть выше.
-
Как только вы сделаете платеж, отправьте на мой E-mail код, сгенерированный в транзакции, вместе с вашим Идентификатором, который находится выше, а также пароль, зашифрованный с помощью RSA-2048, который находится в текстовом поле выше.
-
Обратите внимание:
Не тратьте время на поиск решений для дешифрования файлов с помощью программ в сети Интернет, они испортят ваши файлы, что сделает невозможным дешифрование даже с помощью правильного ключа.
У ВАС ЕСТЬ ТОЛЬКО 72 ЧАСА, ЧТОБЫ СДЕЛАТЬ ОПЛАТУ И РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ, ИНАЧЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ!
-
КАК КУПИТЬ MONERO:
Чтобы купить monero, вам нужно купить биткоины, используя сайт https://foxbit.com.br/
купить биткойн, после покупки купить monero на ваши биткоины на сайте https://poloniex.com/
Ниже несколько руководств на Youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
ЕСЛИ ВЫ ХОТИТЕ ПЛАТИТЬ В ДРУГИХ КРИПТОВАЛЮТАХ СВЯЖИТЕСЬ C НАМИ ПО EMAIL ВЫШЕ!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
doc_2017100200000-15.pdf.exe (7-zip)
bugware.exe или <random>.exe
bugware.bmp или wpp.bmp - изображение на обои Рабочего стола
Lista.log 

Расположения:
%AppData%\Lista.log
%Desktop%\bugware.bmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BUGWARE\
HKCU\SOFTWARE\BUGWARE\Arquivos
HKCU\SOFTWARE\BUGWARE\Chavepriv8
HKCU\SOFTWARE\BUGWARE\Enviado
HKCU\SOFTWARE\BUGWARE\ID

HKCU\SOFTWARE\BUGWARE\prazo
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: slavic@secmail.pro
URL: xxxx://dedamento-vendas.xyz/***

xxxx://getrichordietryin.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября:
Пост в Твиттере >>
https://twitter.com/malwrhunterteam/status/918403062993182720
Расширение: .[SLAVIC@SECMAIL.PRO].CRIPTOGRAFADO
На файле написано:  D.O.C.U.M.E.N.T.O
Файлы: boleto-atualizado-7853.docx.scr и boleto-atualizado-7852.exe
BTC: 1PNFVruiLaN4Bh8Jgbw5LEjMaxGBMZvoXc
Результаты анализов: VT
Скриншоты экрана блокировки, списка стран и обоев рабочего стола.
Срок уплаты выкупа увеличился с 72 часов до 168 (неделя), но так ли это. 
Разработчик оставил в ресурсах неприятный мем о женщинах с надписями в виде поговорки. 


Обновление от 18 октября 2017:
Пост в Твиттере >>
Расширение: .[MAXVISION@SECMAIL.PRO].CRIPTOGRAFADO
Файлы: conversa-whatsapp-backup.scr
*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BugWare)
 Write-up, Topic of Support
 * 
Added later:
Write-up by Zscaler (December 2, 2017)
*
*
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Zscaler
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton