Donald Trump

Donald Trump Ransomware

(фейк-шифровальщик)

   Этот крипто-вымогатель не шифрует данные пользователей с помощью AES, хотя функционал шифрования всё же имеется, а просто ищет и перемещает в папку "encrypt" файлы, имеющие определённые расширения, кодирует в base64 их имена, а затем добавляет к ним расширение .ENCRYPTED. Оригинальное название: CRPT-TRX. 

Название получил от использованной фотографии Дональда Трампа, известного кандидата в президенты США. Его имя вымогатели также вывели в название экрана блокировки. 

К зашифрованным файлам добавляется расширение .ENCRYPTED.

Текстовых записок с требованием выкупа нет. 

Распространяется с помощью email-спама и вредоносных вложений. 

В этой, находящейся в стадии разработки версии, можно просто нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена. Но функционал шифрования всё же есть, только пока не реализован. 

Ввиду того, что среди целевых файлов есть файлы для Minecraft, можно заключить, что целью вымогателей были пользователи именно этой игры. 

Список файловых расширений, подвергающихся шифрованию:
 .7z, alts.json, .assets, .avi, .bukkit.jar, .cfg, .css, .csv, .csv, .dat, .dat_mcr, .dll, .doc, .docx, .flv, .gif, .html, .icarus, .ico, .ini, .Ink, .itl, .java, .jpeg, .jpg, .js, .litemod, .log, .lvl, .m3u, .mca, .mdbackup, .menu, .Minecraft, .mp3, .mp4, .odt, .pak, .php, .png, .ppt, .pptx, .psd, .pub, .rar, .raw, .resource, .rtf, .sav, .sidn, .sk, .sln, .swf, .tax, .tex, .txt, .vb, .wma, .wmv, .wolfram, .xcf, .xml, .xxx, .yml, .zip (66 расширений, включая специальные файлы для Minecraft). 

Файлы, связанные с Donald TrumpRansomware:
CRPT-TRX.exe
<random_name>.exe

Записи реестра, связанные с Donald Trump Ransomware:
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Maldun анализ >>
Malwares анализ >>


Т.к. файлы всё же не шифруются, то Donald Trump Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Write-up on BC
*
*
*

 Thanks:
 Lawrence Abrams
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nagini, Voldemort

Nagini  Ransomware 

Voldemort Ransomware

  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует ввести номер кредитной карты, чтобы оплатить выкуп. 

Название получил от от Nagini — названия огромной ядовитой змеи, принадлежащей Волдеморту, который сам изображен на экране блокировки. 

К зашифрованным файлам добавляется расширение ???.

Записки с требованием выкупа нет. Если запустить установочный файл вымогателя, то открывается блокировщик экрана с кнопкам управления.

Содержание надписей на кнопках:
Done encrypting!
Enter your credit card:
Get key!
Enter your key to decrypt the files:
Decrypt Now!

Перевод записки на русский язык:
Зашифровано!
Введи свою кредитную карту:
Получи ключ!
Введи ключ для дешифровки файлов:
Дешифровать!

Вымогатель пока находится в стадии разработки и не финализирован. По некоторым признакам можно заключить, что финальная версия может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .exe, .jpeg, .jpg, .pdf, .png, .ppt, .pptx, .xls, .xlsx

Файлы, связанные с этим Ransomware: 
c:\Temp\voldemort.horcrux
%UserProfile%\1.exe
%UserProfile%\Nagini.exe

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Voldemort" = "[path_to]\Nagini.exe"

Гибиридный анализ на Payload Security >>
Детекты с него на VirusTotal >>


Степень распространённости: единичные случаи.
Подробные сведения собираются.

  Read to links:
 https://www.youtube.com/watch?v=dLLcc4oQDtI
 http://www.bleepingcomputer.com/news/security/the-nagini-ransomware-sics-voldemort-on-your-files/

  Thanks:
  CyberSecurity GrujaRS
 Michael Gillespie (Demonslay335)
 Lawrence Abrams (Grinler)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cyber SpLiTTer Vbs

Cyber SpLiTTer Vbs Ransomware

Cyber SpLiTTer NextGen 

Cyber SpLiTTer Android Ransomware

(фейк-шифровальщик)

(шифровальщик-вымогатель)

   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин за дешифровку файлов. Название оригинальное, написано в окне экрана блокировки. Новая версия уже шифрует данные с помощью AES-256. Разработчик: Cyber SpLiTTer Vbs Team, Cyber SpLiTTer. 

Файлы можно расшифровать в некоторых случаях. 

© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs > более новые варианты и проекты > Cyborg Ransomware, Cyborg Builder Ransomware > Ransomware for Android

В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа. 

Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".

Перевод на русский язык:
твои изображения, видео и документы зашифрованы.

По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся. 

Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях.

Детект на VirusTotal >>

Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам. 

Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе. 

Степень распространённости: низкая.
Подробные сведения собираются. 

Смотрите более новые версии и варианты ниже. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT


Вариант от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn



Вариант от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn  






Вариант от 13-14 февраля 2017:
Пост в Твиттере >>
Название: Blue Eagle
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT. 
Скриншоты >>

 

Вариант от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf

Вариант от 21 августа 2017:
Пост в Твиттере >>
Файлы: STUB.exe
Расширение: .Isis
Email: mifoudz19@gmail.com
BTC: 31zwsxv9xr2W6mnUdJTDNxhBch2gWUGuSx
Результаты анализов: HA+VT
<< Скриншот экрана блокировки






Вариант от 29 сентября 2017:
Название: Cyborg Builder Ransomware (Cyber SpLiTTer)
Видеообзор крипто-строителя >>

Вариант от 19 марта 2018:
Пост в Твиттере >>
Private Builder Ransomware v2.01 
🎥 Видеообзор >>
Расширение: .Isis
Записка: @-Decrypt-@.txt
Файл: Process_Hacker3.exe
Результаты анализов: HA + VT
Скриншоты записок >>

Вариант без указания даты: 

Вариант от 29 мая 2019:

Надпись на скриншоте:

This Code Was Successfully Encrypted By 5H311_1NJ3C706

Contact Email : HackerBaloch07@gmail.com

xxxxs://darknet-cyber.blogspot.com/

####### BLACK_PHANTOM_CYBER #######

Вариант от 12 октября 2019:

Сообщение на форуме о выходе Cyborg Builder Ransomware V2

Telegram: xxxxs://t.me/Cyborg_SpUTTer

Email: HackerBaloch07@gmail.com

Вариант от 12 февраля 2020:

➤ Содержание текста с экрана: 

!!! YOUR FILES HAVE BEEN ENCRYPTED WITH RANSOMWARE !!!

The Key to Decrypt Your Files Will Be DELETED in 7 Days

Send Me 0.3 Bitcoins (You Have Only 7 Days From Now)

Bitcoin Address: 1BDCsTttBiGM79hBK9svG7nEi47eaMBaQa

Send Proof of Payment Transactions via Email:

HackerBaloch07@gmail.com

I Will Send You the Key to Decrypt Your Files

Вариант от 18 октября 2020: 

Пост в Твиттере >>

Самоназвание: TinyEvil 

Email: hackerbaloch07@gmail.com

BTC: 1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB

➤ Содержание текста с экрана: 

*** Military Grade Encryption Algorithm. There Is No WayTo Restore Your Data *** Decrypt Key.

To Purchase Your Key And Restore Your Data, Please Follow These Easy Steps:

1. Send $1000 Worth Of Bitcoin To Following Address: 

1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB

2. Send Proof of Bitcoin Payment Transactions to My Email: HackerBaloch07@gmail.com

3. And You Will Get the Decryption Key

- - -

- - -

If you already purchased your key, please enter it below. 

Key: _

---

Функционал:  Задержка исполнения. Обход антивируса. Блокировка экрана. Шифрование: AES 256. 

ICQ : Cyber_SpLiTTer

Сайт: xxxxs://darknet-cyber.blogspot.com/2020/03/anonymous-ransomware-new-version-20.html

Сайт: xxxxs://mirror-h.org/zone/2564044/

Вариант от 7 октября 2020: 

Сообщение >>  Сообщение >>  Сообщение >>

Расширение: .Crypted

Шифрование: SHA1 + AES-128

Файлы можно расшифровать. Пароль хранится в shared_pref. 

URL: xxxx://blockschain.great-site.net/

 

 

Файл: free.apk

Результаты анализов: VT + IA

➤ Обнаружения: 

Avira (no cloud) -> ANDROID/Agent.cxwkf

DrWeb -> Android.Encoder.11.origin

ESET-NOD32 -> A Variant Of Android/Agent.BIO

Kaspersky -> HEUR:Trojan.AndroidOS.Boogr.gsh

Microsoft -> Trojan:AndroidOS/Banker.D!MTB

Symantec -> Trojan.Gen.MBT

Symantec Mobile Insight -> Other:Android.Reputation.1

Tencent -> Dos.Trojan.Boogr.Wtdj

---

 

Содержание текста о выкупе (на индонезийском языке): 

Ups, Ponsel Anda Di Bloked Oleh Cyber_SpLiTTer. semua foto dan file Anda dienkripsi (terkunci) dan Anda akan menemukan nama pengguna Anda di bawah. kirim email ke sini Shadows_Brokers@protonmail.com dengan nama pengguna Anda. dan dapatkan kunci pribadi Anda dan dekripsi file Anda dalam waktu kurang dari 2 menit. Jadi, Anda memiliki waktu 24 jam untuk mendapatkan kuncinya. Kunci Anda akan secara otomatis dihapus dari server kami dan file juga akan otomatis dihapus dan tidak akan dipulihkan selamanya ... Semoga hari Anda menyenangkan!!!

---

Перевод текста на русский язык: 

Увы, Ваш телефон заблокирован Cyber_SpLiTTer. Все Ваши фотографии и файлы зашифрованы (блокированы), и Вы найдете свое имя пользователя ниже. Отправьте email на Shadows_Brokers@protonmail.com с Вашим именем пользователя. И получите ваш закрытый ключ и расшифруете файлы за менее 2 минуты. Итак, у Вас 24 часа, чтобы получить ключи. Ваши ключи будут автоматически удалены с наших серверов, и файлы тоже будут автоматически удалены и их не вернуть никогда... Хорошего Вам дня!!!

---

➤ Скриншоты от исследователей:

Обновление от 11 февраля 2021:

Записка: ReadMe.txt

➤ Содержание записки: 

Congratulations, All Your Android Data Is Infected With Ransomware. 

To get the Decryption Tool, you only need to pay me $ 100 to the Bitcoin address: 1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr 

Or you can contact me with ICQ: https://icq.im/Cyber_SpLiTTer

---

➤ Текст на сайте:

Greetings, This Website Has Been Encrypted Ransomware.

HOW TO UNLOCK MY FILE AND DATABASE?

Oops, All Your Files, Documents, Photos, Databases And Other Important Files Are Encrypted. To Restore The Encrypted File, Please Send $300 To My Bitcoin Address.

Copy The Bitcoin Address Below:

1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr

Or You Can Contact Me Through the Links Below:

https://icq.im/Cyber_SpLiTTer

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links:
Tweet on Twitter
Write-up on BC
***

 Thanks:
Karsten Hahn, Lawrence Abrams
Michael Gillespie, GrujaRS
Andrew Ivanov (article author)

© Amigo-A (Andrew Ivanov): All blog articles.

UnblockUPC

UnblockUPC Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,18 биткоина или 100 евро, чтобы разблокировать файлы. Название получил от адресов сайтов вымогателей - unblockupc. 

К зашифрованным файлам добавляется не расширение, а приставка enc.

Пример зашифрованных файлов с приставкой "enc"

Записки с требованием выкупа называются: 
   Files encrypted.txt с текстом и uid.txt с идентификатором во всех папках с зашифрованными файлами;
   скринлок, встающий обоями с аналогичным текстом;
   веб-страницы с расширенным вариантом вымогательского текста.

Текстовые файлы Files encrypted.txt и uid.txt

Записки и exe-файлы (decryptor.exe и einfo.exe) размещаются на рабочем столе, в Документах, в %Temp%, %Users\User_Name\AppData%, %ProgramData% и некоторых других местах системы. 

Содержание записки о выкупе "Files encrypted.txt":
You used to download illegal files from the internet.
Now all of your private files has been locked and encrypted!
To unblock them visit one of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://unblockupc.club
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
Your UID: *****

Перевод записки на русский язык (без коррекции):
Ты использовал загрузки нелегальных файлов из Интернета.
Теперь все твои личные файлы блокированы и шифрованы!
Для разблокировки их посети один из этих сайтов:
хттп://unblockupc.xyz
хттп://unblockupc.in
хттп://unblockupc.club
хттп://moscovravir.ru
хттп://213.167.243.215
хттп://185.45.192.17
Твой UID: *****

На указанных выше сайтах можно прочесть подробные требования о выкупе.

Текст со скриншота (красным выделены файлы с ошибками):
Here you can ublock your files
You probably used to download illegal files from the internet...
Well, that's why we encrypted all your private files on your computer.
But fortunately you can ublock them for just... ~100 EURO (0.18 BTC)
I know, you probably don't want to pay but belive me, it's pretty good opportunity for you! We had access to all your private files, your email, facebook, bank account, sometimes credit cards... And we only decided to encrypt your files and get 100 euro, we are not so bad!
There is no other way to unlock your files than paying us. If you want to do this, follow these steps:
1. First of all, we need to know your UID, it is your unique identyfication number, your unlock password is connected with these uid. It is located in uid.txt file on your Desktop or in My Documents/Documents folder.
2. Now you need to put your UID below and press submit
---
This page will work only until 1.10.2016 so better hurry up.
After 1.10.2016 you won't be able to unlock your files

Перевод на русский язык:
Здесь ты можешь ublock файлы
Ты делал загрузки нелегальных файлов из Интернета ... 
Потому мы зашифрованы все твои личные файлы на компьютере. 
Но, к счастью, ты можешь ublock их за... ~100 EURO (0.18 BTC) 
Я знаю, ты, наверно, не хочешь платить, но верь мне, это лучшая возможность для тебя! Мы получили доступ ко всем твоим личным файлам, email, facebook, банковский счет, кредитные карты... И мы лишь решили зашифровать твои файлы и взять 100 евро, мы не так плохи! 
Нет иного способа разлочить файлы, чем заплатить нам. Если ты согласен, сделай эти шаги: 
1. Сначала, мы должны знать твой UID, это твой уникальный номер идентификации, твой пароль разлочки связан с этим UID. Он есть в файле uid.txt на рабочем столе или в папке Мои документы / Документы. 
2. Теперь тебе нужно вставить UID ниже и нажать отправить
---
Эта страница будет работать только до 1.10.2016, так что поторопись. 
После 1.10.2016 ты не сможешь разлочить файлы

Слова с ошибками в английском тексте я пометил красным, например: ublock [unlock - разлочить].

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Распространение вышло за рамки одной страны, пострадавшие есть в Европе, США, Японии...

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mm, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .n64, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sq, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xm, .zip (169 расширений). 

Пропускаются файлы с расширением .txt, т.к. используются текстовые записки с текстом вымогателей и UID, сгенерированным для ПК. 

Файлы, связанные с Ransomware:
C:\Users\User_Name\AppData\Local\Temp\D68E8D0-AB5E775-FC244EF7-7E79FE21
C:\Users\User_Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe
C:\Users\User_Name\AppData\Roaming\uid.txt
%Temp%\einfo.exe
C:\Users\User_Name\Desktop\decryptor.exe
C:\Users\User_Name\Desktop\uid.txt
C:\Users\User_Name\Desktop\Files encrypted.txt
C:\Users\User_Name\Documents\Files encrypted.txt
C:\Users\User_Name\Documents\decryptor.exe
C:\Users\User_Name\Documents\uid.txt
C:\Users\User_Name\Documents\einfo.exe
C:\ProgramData\uid.txt
C:\ProgramData\encfiles.log
C:\ProgramData\encinfo.jpg
C:\ProgramData\uid.txt
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
... и другие.

Если запустить файл decryptor.exe, то он потребует ввести 16-значный "секретный код", который можно получить на указанных выше сайтах вымогателей. При моей проверке они открывались все. 

Файл einfo.exe может находиться во временных директориях Temp и самоудаляется, если жертвой запускается decryptor.exe. Последний нужен только для того, чтобы отобразить перед жертвой записку с требованием выкупа, поэтому это совсем не дешифровщик. 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Детект на VirusTotal на файл decryptor.exe >>

Степень распространённости: высокая.
Подробные сведения собираются.

https://id-ransomware.malwarehunterteam.com/index.php
http://www.bleepingcomputer.com/forums/t/627582/unblockupc-ransomware-help-support-topic-files-encryptedtxt/
https://www.pcrisk.com/removal-guides/10521-unblockupc-ransomware

Thanks:
Michael Gillespie (Demonslay335)
Lawrence Abrams (Grinler)
Tomas Meskauskas by PCrisk

© Amigo-A (Andrew Ivanov): All blog articles.

Mobef-Parisher

Mobef-Parisher Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные на взломанных серверах, а затем требует написать на почту вымоагтелей, приожить к письму 1 зашифрованный файл не более 1 МБ и файл с ключом, а также уплатить выкуп в 5 биткоинов, чтобы получить дешифровщик и вернуть файлы. Название получил от логина почты вымогателей.

© Генеалогия: Mobef >> Mobef-Parisher 

К зашифрованным файлам никакое расширение не добавляется. Файлы не переименовываются. 

Активность этого криптовымогателя пришлась на сентябрь-ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа в зависимости от разных атак могут называться по разному, например:
1NFORMAT1ONFOR.YOU
HELLO.0MG

К ним прилагается специальный файл, видимо с открытым ключом шифрования, который может иметь разные названия, например: 
ENCRYPT1ON.KEY123
LOKMANN.KEY993

Содержание текста о выкупе:
ID:255482
PC:SERVER08
USER:Administrator
---
Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* check your junk/spam folder first though
These files have been encrypted (please, keep this .log): C:\Windows\255482.log

Перевод текста на русский язык:
ID:255482 (идентификатор)
PC:SERVER08 (имя машины)
USER:Administrator
---
Привет. Я могу дешифровать твои файлы.
Напиши мне: parisher@protonmail.com
В случае, если ты не получил ответ, то напиши мне сюда *:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* проверь папку хлам / спам сначала
Эти файлы зашифрованы (только сохрани этот .log): C:\Windows\255482.log

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Известные email вымогателей: 
parisher@protonmail.com
parisher@india.com
parisher@inbox.lv
parisher@mail.bg

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:

 .3d, .3dm, .3ds, .3g2, .3gp, .7z, .abk, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bac, .bak2, .bak, .bak3, .bat, .bin, .bkp, .bmp, .bup, .cab, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .old, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wbb, .wma, .wmv, .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (163 расширения) и другие. 

Это документы, базы данных, бэкапы, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Windows\<6_digit_number>.log например, 255482.log - список зашифрованных файлов
ENCRYPT1ON.KEY123 или LOKMANN.KEY993 - нужно приложить к письму
HELLO.0MG или 1NFORMAT1ONFOR.YOU - сообщение для жертвы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Voluntary contribution wished to remain anonymous
 ID Ransomware (ID under Mobef)
 *
 *

 Thanks: 
 Unknown assistant
 Michael Gillespie
 Mihay Ice
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fs0ciety Locker

Fs0ciety Locker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 CBC и 32-байтного ключа. Новый 16-байтный идентификатор генерируется для каждого файла и сохраняется в его заголовке. Вымогатели требуют выкуп в 1,5 биткоинов в течение 24 часов, чтобы вернуть файлы. Оригинальное название: Fs0ciety, указано в записке. Там же упоминанется и как Fs0ci3ty. Написан на Python. 

---

Обнаружения: 

BitDefender -> Generic.Ransom.Python.SocCrypt.D175215F

ESET-NOD32 -> Python/Filecoder.F

Kaspersky -> Trojan-Ransom.Python.Agent.c

Microsoft -> Ransom:Win32/Ranscrape

Symantec -> ML.Attribute.HighConfidence

TACHYON -> Ransom/W32.FsocietyLocker.9045323

Tencent -> Win32.Trojan.Raasmd.Auto

TrendMicro -> Ransom_SociePy.A

---

© Генеалогия: Fs0ciety Locker > SD Ransomware

!!! Не путайте с вымогателем FSociety Ransomware. 

К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety

Оригинальное имя файла вместе с оригинальным раширением сохраняются. Таким образом после шифрования файл document.doc станет document.doc.realfs0ciety@sigaint.org.fs0ciety

Шаблон: <original_filename>.realfs0ciety@sigaint.org.fs0ciety

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Записка с требованием выкупа называется fs0ciety.html и размещается на рабочем столе. 

Содержание записки о выкупе:
Welcome To Fs0ci3ty
realfs0ciety@sigaint.org
You Will need to make a Payment of 1.5 Bitcoins within the next 24 Hours or Ransome goes to 1 Btc more daily. Your File System has been encrypted using state of the art Technology 
You may already understand how this works, if you do good but if you are confused or are unaware of how this works we are hoping to be more informative with our clients. 
Buying bitcoins can be very hard to do, so to make this more trust worthy than most we are going to have a secure cold payment system set up that will allow us to secure bitcoins. 
As well as a different wallet address per client, each user is given a unique identifier by the server that is used to track distributed keys as well wallet addresses assigned. 
You can head to http://localbitcoins.com/ and create a new account in seconds flat, than go to the wallet and send 1.5 btc to the address you were given in the ransome message 
you will use the bitcoin you get through local bitcoins to pay to the unique wallet we gave you the identifier in the bottom left of this page is tied to your key contact us via email

Перевод записки на русский язык:
Добро пожаловать в Fs0ci3ty
realfs0ciety@sigaint.org
Вам нужно внести платеж в размере 1.5 биткоина в течение 24 часов или выкуп станет расти на 1 BTC ежедневно. Ваша файловая система была зашифрована с использованием самой современной технологии.
Вы можете понять, как это работает, если всё делаете хорошо, но если вы запутались или не знаете, как это работает, мы надеемся быть более информативными с нашими клиентами.
Покупка биткоинов может показаться трудной, чтобы сделать это проще и безопаснее, мы настроим безопасную платежную систему, что позволит нам безопасно получить биткоины.
А также другой адрес кошелька на одного клиента, каждому пользователю присваивается сервером уникальный идентификатор, который используется для отслеживания распределяемых ключей, присвоенный также адреса кошелька.
Вы можете отправиться в http://localbitcoins.com/ и создать новую учетную запись за секунды, перейти к кошельку и отправить 1.5 btc по указанному в сообщении о выкупе адресу.
Вы будете использовать биткоины, вы сможете через местные биткоины заплатить на уникальный кошелек, мы дали вам идентификатор в нижней левой части этой страницы, привязан к вашему ключу, свяжитесь с нами по email.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, в том числе документов с  вредоносными макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования Fs0ciety Locker удаляет тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
популярные типы файлов. 

Файлы, связанные с Ransomware:
C:\Users\Ricoh\driver_update.exe 
discovered.txt - содержит список файлов, которые будут зашифрованы;
fs0ciety.html - записка о выкупе;
Invoice_payment.docm - документ с вредоносным макросом. 


Результаты анализов:
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ на файл Invoice_payment.docm

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Topic on BC + Write-up on BC

 Thanks: 
 Michael Gillespie
 xXToffeeXx (PolarToffee)
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.