Если вы не видите здесь изображений, то используйте VPN.

среда, 15 октября 2014 г.

SuperCrypt

SuperCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English



   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует уплатить выкуп ваучерами Ukash на сумму 300€ или отправив 1 биткоин, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .SUPERCRYPT. Название получил от добавляемого расширения. 

Активность этого криптовымогателя пришлась на октябрь 2014 - февраль 2015. Ориентирован на взлом серверов в Европе (Италия, Франция, Польша и пр.) и Америке (Бразилия и пр.). 

Записки с требованием выкупа называются HOW TO DECRYPT FILES.txt и размещаются на рабочем столе. 

Содержание записки о выкупе:
If you're reading this text file, then ALL your FILES are BLOCKED with the most strongest military cipher.
All your data - documents, photos, videos, backups - everything in encrypted.
The only way to recover your files - contact us via supercrypt@mailer9.com
Only we have program that can completely recover your files.
Attach to e-mail:
1. Text file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you our conditions and your decrypted file as proof that we actually have decrypter.
Remember:
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FlLES.txt"
3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

Перевод записки на русский язык:
Если ты читаешь этот текстовый файл, то все твои файлы блокированы самым сильным военным шифром.
Все твои данные - документы, фото, видео, резервное копирование - все в зашифрованном виде.
Единственный способ восстановить файлы - связаться с нами через supercrypt@mailer9.com
Только у нас есть программа, которая может полностью восстановить твои файлы.
Добавить к email:
1. Текстовый файл с кодом ("HOW TO DECRYPT FILES.txt")
2. Один зашифрованный файл (пожалуйста, не отправляй файлы больше 1 Мб)
Мы проверим твой код из текстового файла и пришлем наши условия и твой расшифрованный файл как доказательства того, что у нас есть декриптер.
Запомни:
1. Быстрее контакт с нами - быстрее восстановишь свои файлы.
2. Мы будем игнорировать email-письма без прикрепленного кода из твоего "HOW TO DECRYPT FILES.txt"
3. Если ты не получил ответ от нас - пробуй связаться с нами с помощью email-почты Yahoo или подобной.

Email вымогателей: supercrypt@mailer9.com

Сведения о глобальном распространении отсутствуют. Распространения как такового и не было засвидетельствовано. Злоумышленики компрометировали сервера и компьютеры путем хакерских атак и взлома с помощью удаленного рабочего стола через RDP и VNC-порты или службы терминалов. Чаще всего пострадавшие упоминали про 3389 порт. После того, как хакер получал доступ к системе и вредоносное ПО было уже в компьютере, запускался защищенный паролем установщик SuperCrypt, который выполнял шифрование. По окончании шифрования хакер сам удалял всё вредоносное ПО с компьютера. Жертвы, которые заплатили выкуп, получили исправно отработавшую программу дешифрования и файлы были дешифрованы. 

Список файловых расширений, подвергающихся шифрованию:
- файлы документов;
- исполняемые файлы;
- файлы прикладных программ. 

Файлы, связанные с Ransomware:
HOW TO DECRYPT FILES.txt 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая; сейчас угроза неактивна.
Подробные сведения собираются.


http://www.bleepingcomputer.com/forums/t/552801/new-supercrypt-ransomware-appears-to-be-distributed-via-hacked-terminal-services/
http://www.bleepingcomputer.com/forums/t/551979/supercrypt-ransomware-support-and-help-topic-how-to-decrypt-filestxt/
 Thanks:
 Lawrence Abrams (Grinler)
 
 

среда, 10 сентября 2014 г.

CRP, AES256-06

CRP Ransomware 

AES256-06 Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, добавляя файлам CRP. Оригинальное название неизвестно. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется приставка CRP

Пример зашифрованного файла: 
CRPIMG_0168.jpg

Активность этого крипто-вымогателя пришлась на сентябрь 2014 г. Ориентация неизвестна. 

Записка с требованием выкупа отсутствует или не обнаружена. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Не меняет имя файла, а добавляет к его имени приставку CRP
 В начало файла добавляет строку "AES 256" в HEX: 06 00 41 45 53 32 35 36 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
random.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES256-06)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 (victim in the topics of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 8 августа 2014 г.

ZeroLocker

ZeroLocker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 300$ до 1000$ в BTC, чтобы вернуть файлы. Оригинальное название: ZeroLocker. На файле написано: Task Manager.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Trojan.Encoder.742
ALYac -> Trojan.Ransom.zerolocker
Avast -> MSIL:GenMalicious-BSR [Trj]
BitDefender -> Trojan.AgentWDCR.CED
ESET-NOD32 -> MSIL/Filecoder.ZeroLock.A
Microsoft -> Ransom:Win32/Zuresq.A
TrendMicro -> TROJ_CRYPZLOCK.A
Symantec -> Ransom.Zerolocker

© Генеалогия: более ранние варианты >> ZeroLocker


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало - середину августа 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Притворяется фальшивым инструментом, который обнаружил зашифрованные файлы и предлагает помощь. 

Информатором жертвы и запиской с требованием выкупа выступает экран блокировки: 




Содержание текста о выкупе:
IMPORTANT! PLEASE READ!
Unfortunately the files on this computer (ie. documents, photos, videos) have been encrypted using an extremely secure and unbreakable algorithm. This means that the files are now useless unless they are decrypted using a key.
The good news is that your files are not lost forever! This tool is able to rescue the files on your computer for you!
BY PURCHASING A LICENSE FROM US. WE ARE ABLE TO RESCUE YOUR FILES 100% GUARANTEED FOR A VERY LOW EARLY BIRD PRICE OF ONLY $300 USD!* In 5 days however, the price of this service will increase to $600 USD, and after 10 days to $1000 USD.
Payment is accepted in Bitcoin only. You can purchse Bitcoin very easily in your area by bank transfer, Western Union, or even cash.
Visit www.localbitcoins.com to find a seller in your area. You can also google Bitcoin Exchanges to find other methods for buying Bitcoin.
Please check the current price of Bitcoin and ensure you are sending the correct amount before making your payment! Visit
www.bitcoinaverage.com for the current Bitcoin price.
After making your payment please wait up to 24 hours for us to make your key available. Usually done in much less time however.
IMPORTANT: Once the key is available and you click "Decrypt Files", please wait and let the decryption process complete before closing this tool This process can take from 15 minutes to 2+ hours depending on how many files need to be decrypted You will get a notification that the decryption process is complete, at which time you can click "Exit*. Removing this tool from your computer without first decrypting your files will cause your files to be lost forever.
SEND BITCOIN PAYMENT TO THIS ADDRESS: 
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
*Please note that early bird qualification is determined from the date that this tool was first run as recorded on our servers.

Перевод текста на русский язык:
ВАЖНО! ПОЖАЛУЙСТА, ПРОЧТИТЕ!
К сожалению, файлы на этом компьютере (т.е. документы, фотографии, видео) были зашифрованы с чрезвычайно безопасным и стойким алгоритмом. Это значит, что файлы теперь бесполезны, если они не расшифрованы с помощью ключа.
Хорошей новостью является то, что ваши файлы не будут потеряны навсегда! Этот инструмент может спасти файлы на вашем компьютере для вас!
ПОКУПАЙТЕ ЛИЦЕНЗИЮ У НАС. МЫ МОЖЕМ СПАСТИ ВАШИ ФАЙЛЫ, ГАРАНТИРУЕМ НА 100% ДЛЯ ОЧЕНЬ РАННЕЙ ПТАШКИ ТОЛЬКО 300$ США!* Однако через 5 дней цена этой услуги возрастет до 600$ США, а через 10 дней до 1000$ США.
Оплата принимается только в биткойнах. Вы можете легко купить биткойн в своем регионе банковским переводом, Western Union или даже наличными.
Посетите www.localbitcoins.com, чтобы найти продавца в вашем регионе. Вы также можете зайти на Google Bitcoin Exchange, чтобы найти другие способы покупки биткойнов.
Пожалуйста, проверьте текущую цену Биткойн и убедитесь, что вы отправляете правильную сумму, прежде чем сделать платеж! Посетите www.bitcoinaverage.com для текущей цены Биткойн.
После оплаты, пожалуйста, подождите до 24 часов, чтобы мы предоставили вам ваш ключ. Обычно нужно гораздо меньше времени, однако.
ВАЖНО: как только ключ станет доступен и вы нажмете "DECRYPT FILES", пожалуйста, подождите и дайте процессу расшифровки завершиться перед закрытием этого инструмента. Этот процесс может занять от 15 минут до 2+ часов в зависимости от того, сколько файлов надо расшифровать. Вы получите уведомление о завершении процесса расшифровки, после чего вы можете нажать "EXIT". Удаление этого инструмента с вашего компьютера без предварительной расшифровки файлов приведет к потере файлов навсегда.
ОТПРАВИТЬ ОПЛАТУ BITCOIN НА ЭТОТ АДРЕС:
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
* Обратите внимание, что ранняя пташка определяется с момента, когда этот инструмент был впервые запущен, как записано на наших серверах.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Почти все файлы на диске "C", включая исполняемые файлы, будут зашифрованы с алгоритмом шифрования AES. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

 Пропускаются папки, которые содержат в названии ключевые слова: 
Windows, WINDOWS, Program Files, ZeroLocker, Desktop

 При сканировании перед шифрованием будут пропущены файлы, которые находятся в пропускаемых папках или имеют размер не более 20 Мб. 

➤ ZeroLocker не удаляет точки восстановления системы Windows, поэтому можно восстановить файлы с помощью Shadow Explorer.

Файлы, связанные с этим Ransomware:
Task Manager.exe  оригинальный файл шифровальщика
cipher.exe - удаляет после шифрования все неиспользуемые данные с диска
ZeroRescue.exe - расшифровщик

Расположения:
C:\ZeroLocker\ - специальная папка
C:\ZeroLocker\ZeroRescue.exe
C:\ZeroLocker\address.dat
C:\ZeroLocker\log.dat
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\Desktop\Projects\ZeroLocker\Testing Stuff\Testing Stuff\obj\Debug\Task Manager.pdb - оригинальное название проекта

Подробности о шифровании и возможности расшифровки:
Когда он закончит шифрование ваших файлов, он запустит команду C:\Windows\System32\cipher.exe /w:C:\ , которая перезапишет все удаленные данные на диске C:\
Он создаст папку C:\ZeroLocker\ , где сохранит различные файлы и исполняемый файл расшифровщика с именем ZeroRescue.exe. 
Этот файл будет настроен на автоматический запуск с помощью записи в реестре при входе на компьютер.

ZeroLocker генерирует один случайный 160-битный ключ AES для шифрования всех файлов. Ключ шифрования вместе с CRC32 MAC-адреса компьютера отправляется на C&C-сервер. Если этот сервер был правильно настроен, при загрузке закрытого ключа он получит код состояния HTTP 200, который означает, что веб-страница была успешно открыта. К сожалению, когда ZeroLocker пытается загрузить свой закрытый ключ, то делает он это через запрос GET, а не через POST. В результате это приводит к ошибке 404 на сервере, потому что запрошенной веб-страницы нет на сервере.




Из-за этого ключ дешифрования не был сохранен ни в одной базе данных или файле для последующего восстановления. Фактически, единственный способ восстановить ключ — вручную отфильтровать журналы доступа HTTP, если они еще не были перезаписаны. Вероятно, ошибка кодирования со стороны разработчика, которая портит зашифрованные файлы и не дает получить ключ дешифрования, даже если жертва заплатила выкуп. 
Таким образом, уплата выкупа бесполезна!


Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"FileRescue" = "%SystemDrive%\ZeroLocker\ZeroRescue.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\[RANDOM NAME]
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://5.199.171.47/
xxxx://5.199.171.47/ciph/1/
xxxx://5.199.171.47/enc/***
xxxx://5.199.171.47/zConfig/120327/
xxxx://5.199.171.47/patriote/sansvi***
xxxx://5.199.171.47/zImprimer/3891027120-OYRfMZNTD05KEnuSGcKw-1MvEwFHN6iMs9rNWxx75sqEVGi37gCDrJE/
xxxx://cheatzone.ikwb.com/secure/downloads/CoC_Cheat_Tool_v2.32.exe
Email: - 
BTC: 1KV1gLGPckob5WphWpeEoDmongSX92pnaT и другие, которые предоставляет C&C-сервер
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Перейдите на страницу дешифровщика и прочтите инструкцию. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (n/a)
 Forum, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Andrew Ivanov (author)
 Vinsula Inc.
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 26 марта 2014 г.

Kolobo

Kolobo Ransomware

Kolobocheg Ransomware 

(шифровальщик-вымогатель)

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и XOR, а затем написать на email вымогателей, чтобы вернуть файлы. 

Название Kolobo условное, дано Майклом Джиллеспи для идентификации в ID Ransomware. Название "Gingerbread", упомянутое в статье Лоуренса Абрамса (2016 г.), не имеет никакого отношения к этому шифровальщику. 

По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA. 

© Генеалогия: HELP@AUSI > Kolobo 

К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_

Появился во второй половине марта 2014 года. Но образец этого криптовымогателя был найден даже в ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Файлы зашифрованы! 
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять! 
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы! 
Отпиши на эти данные, указав идентификатор: 
Почта - kolobocheg@аоl.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com


Технические детали

Распространялся с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может распространяться путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По данным Dr.Web шифровальщик Trojan.Encoder.293 распространялся в комплекте с программой для кражи паролей "UFR stealer". После очистки ПК или переустановки системы нужно сменить все пароли, которыми ранее пользовались. 

➤ Для версий, которые были до лета 2014 года, есть шанс на дешифрование файлов, если найден exe-файл.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com - сайт вымогателей

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Так как во время активности шифровальщиков этого типа я не суммировал по ним информацию и не вёл этот блог, то лучше изучить информацию на сайте и форуме Dr.Web. Ссылки прилагаются. 

Описание семейства Trojan.Encoder.293 >>
Информация по дешифрованию >>



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик
Обращайтесь на форум Dr.Web по ссылке >> 
Или создайте индивидуальный запрос на расшифровку >>
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Kolobo)
 Write-up (2016), Write-up (2013), Write-up (2014)
 *
 Thanks: 
 JAMESWT
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 марта 2014 г.

CryptoDefense

CryptoDefense Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп от 500 и выше долларов или евро, чтобы вернуть файлы обратно. Через 4 дня сумма выкупа удваивается до 1000 и выше долларов. Активность этого криптовымогателя пришлась на февраль-март 2014 г., но периодически обнаруживаются новые вредоносные кампании. 

© Генеалогия: CryptoDefense. Начало >> клоны

Записки с требованием выкупа создаются в каждой папке с зашифрованными файлами и называются:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Может быть открыто следующее окно браузера с адресом: 
https://rj2bocejarqnpuhm.tor2web.org/[RANDOM ***], где жертве объясняется как оплатить выкуп в биткоинах. 

Содержание текстовой записки о выкупе:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software. 
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files. 
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/*** and follow the instructions. 
If https://rj2bocejarqnpuhm.onion.to/*** is not opening, please follow the steps below: 
IMPORTANT INFORMATION: 
Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/*** 
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/***
Your Personal CODE(if you open site directly): ***

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на компьютере зашифрованы с помощью CryptoDefense Software.
Шифрование было сделано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Для расшифровки файлов вам надо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит вам расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ через месяц. После этого никто и никогда не сможет восстановить файлы.
Для того, чтобы расшифровать файлы, откройте свою персональную страницу на сайте https://rj2bocejarqnpuhm.onion.to/*** и следуйте инструкциям.
Если https://rj2bocejarqnpuhm.onion.to/*** не открывается, пожалуйста, выполните следующие действия:
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: https://rj2bocejarqnpuhm.onion.to/***
Ваша личная страница (для TorBrowser): rj2bocejarqnpuhm.onion / ***
Ваш личный код (если вы открываете сайт напрямую): ***

Распространяется с помощью email-спама и вредоносных вложений, с помощью ссылок на вредоносные сайты, содержащие эксплойт.

Список файловых расширений, подвергающихся шифрованию:
.asp, .ass, .ava, .avi, .bay, .bmp, .c, .cer, .cpp, .crt, .cs, .db, .der, .doc, .dtd, .eps, .gif, .h, .hpp, .jpg, .js, .key, .lua, .m, .mp3, .mpg, .msg, .obj, .odt, .pas, .pdb, .pdf, .pem, .pl, .png, .ppt, .ps, .py, .raw, .rm, .rtf, .sql, .swf, .tex, .txt, .wb2, .wpd, .xls (48 расширений).

CryptoDefense создает следующую запись реестра, чтобы сохранить путь всех зашифрованных файлов: HKEY_CURRENT_USER\Software\[RANDOM CHARACTERS]\PROTECTED 

CryptoDefense создает следующие записи в реестре, чтобы запускаться каждый раз при запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%AppData%\[RANDOM CHARACTERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" =" C:\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe"

CryptoDefense удаляет тома теневых копий файлов, отключает службу восстановления Windows, службу восстановления после ошибок при запуске, систему обеспечения безопасности. 

Файлы, связанные с CryptoDefense Ransomware:
%UserProfile%\Desktop\HOW_DECRYPT.URL
%UserProfile%\Desktop\HOW_DECRYPT.TXT
%UserProfile%\Desktop\HOW_DECRYPT.HTML
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

Записи реестра, связанные с CryptoDefense Ransomware:
HKEY..\..\{CLSID Path}
HKEY_CURRENT_USER\Software\[unique id]
HKEY_CURRENT_USER\Software\[unique id] "finish" = "1"
HKEY_CURRENT_USER\Software\[unique id]\PROTECTED

Сетевые подключения и связи:
machetesraka.com
markizasamvel.com
armianazerbaijan.com
allseasonsnursery.com

BTC:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (первая транзакция 18 марта 2014 года)

19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (первая транзакция 28 февраля 2014 года)



Степень распространённости: высокая, включая клоны. 
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

вторник, 11 марта 2014 г.

Plague17 (2014-2016)

Plague17 (2014-2016) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.14940 и более ранние
BitDefender ->

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .PLAGUE17.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Раняя активность этого крипто-вымогателя пришлась примерно на март июля 2014 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Нет данных о распространении в других странах. Был активен на протяжении 2014-2016 годов. Вероятно, после (в 2018-2019 годах) стал использоваться обновленный вариант (судя по обнаружениям антивирусными движками). 

Записка с требованием выкупа называется: 
ДЕШИФРАТОР.txt или чуть позже PLAGUE17.txt



Содержание записки о выкупе:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .PLAGUE17
Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
Напишите нам письмо на адрес plague17@riseup.net , чтобы узнать как получить дешифратор.
Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.
В письмо вставьте текст из файла 'PLAGUE17.txt' или напишите номер - 998866
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.

Перевод записки на русский язык:
*** уже сделан ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ДЕШИФРАТОР.txt
PLAGUE17.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Plague17 / AMBA Family (семейство  Plague17 / AMBA):
Plague17 Ransomware - март 2014 - 2016
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - май 2018-август 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *