Если вы не видите здесь изображений, то используйте VPN.

пятница, 28 октября 2016 г.

Esmeralda

Esmeralda Ransomware 

Apocalypse-Esmeralda Ransomware 

(шифровальщик-вымогатель) Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: Apocalypse >> Esmeralda > Kangaroo > Missing

К зашифрованным файлам добавляется расширение .encrypted.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа называется: How_To_Decrypt.txt
При файле: .How_To_Decrypt.txt

Содержание текста о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenience.
You need to contact the email below to restore the data of your system.
Email: esmeraldaencryption@mail.ru
You will have to order the Unlock-Password and the Esmeralda Decryption Software. All the instructions will be sent to you by email.

Перевод текста на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Esmeralda Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в блокировщике экрана. Там же можно разблокировать файлы. 


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Esmeralda Ransomware:
How_To_Decrypt.txt
%PROGRAMFILES%\Windows NT\explorer.exe
explorer.exe
explorer.exe.mui


Имена файлов: 
explorer

Записи реестра, связанные с Esmeralda Ransomware:
См. гибридный анализ ниже. 

Сетевые подключения:
Email: esmeraldaencryption@mail.ru
См. ниже гибридный анализ.

Результаты анализов:
VirusTotal анализ >>
VirusTotal анализ еще >>


Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EncrypTile

EncrypTile Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,053773 биткоинов (сумма может различаться), чтобы вернуть файлы. Название дано вымогателями. 

© Генеалогия: EncrypTile 

К оригинальному расширению зашифрованных файлов добавляется окончание EncrypTile.

Таким образом файл с именем "image.jpg" после шифрования станет  image.jpgEncrypTile.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: Decrypt_<ID>.txt, где <ID> — идентификатор компьютера жертвы. Кроме того есть еще экран блокировки с функциями проверки платежа и дешифровки, и скринлок, встающий обоями рабочего стола и html-файл. Всё с тем же текстом о выкупе. 




Содержание записки о выкупе:
Your files are safely encrypted with strongest AES encryption and a private RSA key
Warning! If anti-virus deletes software then look at the screenshot and text documents. You can still get your files if you pay by the time. Any cracking attempts will result in a termination of both keys.
Your important files are encrypted with a AES and RSA key, only for this computer. To unlock all of your files as if nothing ever happened, please send 0.053773 bitcoin to the bitcoin address by 3 days or both keys will be terminated and your files will be sold. There are tutorials and links to popular bitcoin markets to help you buy bitcoin easier. There is video
proof the password downloads after payment, and that the decryption is flawless and you cant recover/restore any files without the keys. Send the exact amount of bitcoin. Wait a few minutes and hit "Check payment". After payment, the keys will download and the AES key will appear. Then go to "Decrypt" and enter the AES key. Web browsers and basic programs are
only allowed until you pay. We will decrypt 1 file. E-mail us with your ID and file.
E-mail: deposithere@e-mail.ph
ID: lQ8bF8MgLpZkcmHXPSFjjdpDfGMPVTHjSn
0.053773
10/31/2016 10:39:50 AM
If anti-virus stopped software, e-mail ID after you pay.
How to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
https://localbitcoins.com, https://paxful.com/buy-bitcoin

Перевод записки на русский язык:
Ваши файлы надежно зашифрованы сильным AES-шифрованием и секретным ключом RSA
Предупреждение! Если антивирус удалит программу, то смотрите на скриншот и текстовые документы. Вы все равно можете получить ваши файлы, если заплатите вовремя. Любые попытки взлома приведут к уничтожению обоих ключей.
Ваши важные файлы зашифрованы с помощью ключа AES и RSA, только для этого компьютера. Чтобы разлочить все ваши файлы, как будто ничего не произошло, пожалуйста, отправьте 0.053773 биткоина на Bitcoin-адрес за 3 дня или оба ключа будут уничтожены и ваши файлы будут проданы. Есть учебные пособия и ссылки на популярных Bitcoin-рынках, чтобы упростить вам купить биткоины. Существует видеодоказательство загрузки пароля после оплаты, а также того, что расшифровка безупречна, и вы не сможете восстановить/вернуть любые файлы без ключей. Отправьте точное количество биткоинов. Подождите несколько минут и нажмите кнопку "Check payment". После оплаты ключи будут загружены и ключ AES появится. Затем перейдите в раздел "Decrypt" и введите ключ AES. Веб-браузеры и базовые программы разрешены только пока вы платите. Мы расшифруем 1 файл. Пришлите нам свой ID и файл.
Email: deposithere@e-mail.ph
ID: lQ8bF8MgLpZkcmHXPSFjjdpDfGMPVTHjSn
0.053773
10/31/2016 10:39:50 AM
Если антивирус блокировал программу, email ID после оплаты.
Как купить биткоин хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
хттп://localbitcoins.com, https://paxful.com/buy-bitcoin

Email вымогателей: 
deposithere@e-mail.ph (Филиппины).

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Файлы, связанные с EncrypTile Ransomware:
%LOCALAPPDATA%\encryptile.exe

Записи реестра, связанные с EncrypTile Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:

Ссылки, связанные с покупкой и передачей биткоинов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
ID Ransomware
Внимание!
Файлы можно расшифрвоать! 
Скачайте дешифровщик от Avast по ссылке >>
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

FileIce, Survey

Fileice Ransomware
Survey Ransomware


   Этот крипто-вымогатель шифрует данные пользователей, а затем заставляет пройти опрос для разблокировки компьютера. Оригинальное название: FileiceRansomware. 

Тестовая разработка этого криптовымогателя обнаружена в октябре 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа нет. 


Этот вымогатель использует опросную платформу FileIce, чтобы заставить вас пройти опрос до разблокировки компьютера. 
Выбор опроса из списка, когда ПК не заблокирован

Тот же сайт, когда ПК заблокирован

Вымогателей извлекает эти обзоры из URL *fileice.net*, как показано в исходном коде ниже.

Когда пользователь завершит опрос, то к нему в папку загрузок будет загружен файл ThxForYurTyme.txt, который покажет текстовое сообщение "Thank you for supporting me" (Спасибо тебе за поддержку меня).

Этот вымогатель пока находится в разработке (многие функции неактивны) и пока активно не распространяется. 

Например, вот политики, которые вымогатель может включить или включит в финальной версии:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableLockWorkstation" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableChangePassword" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoClose" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoLogoff" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "HideFastUserSwitching" = 1

В перспективе может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

Список файловых расширений, подвергающихся шифрованию:

в первую очередь — файлы документов и изображений.

Файлы, связанные с Fileice Ransomware:
FileiceRansomware.exe
C:\Users\User_name\Downloads\ThxForYurTyme.txt
C:\seo\Sdchost.exe

Записи реестра, связанные с Fileice Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost C:\seo\Sdchost.exe

Сетевые подключения:
66.252.2.22:80
хттп://www.fileice.net (66.252.2.22)
хттп://fileice.net/download.php?t=regular&file=3lhzu

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 марта 2018:
Пост в Твиттере >>
Результаты анализов: VB + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: 
Tweet on Twitter
Writeup on BC
*
 Thanks: 
 Karsten Hahn by GData 
 Lawrence Abrams by BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 27 октября 2016 г.

CryptoWire

CryptoWire Ransomware

CryptoWire Ransomware family

(шифровальщик-вымогатель, OSR)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,29499335 биткоина (сумма может отличаться), чтобы вернуть файлы. 

Название дали вымогатели. Написан на AutoIt. Концепт был загружен на GitHub анонимным пользователем. Содержит ZIP-архив с исходным кодом Ransomware и файл README с рекламой возможностей CryptoWire.



© Генеалогия: Начало.
CryptoWire OSR (Open Source Ransomware) >> собственно CryptoWire, Lomix, UltraLockerKingOuroboros и др.

К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension. 


Таким образом файл Important.docx станет Important.encrypted.docx

Добавочное расширение можно менять на любое другое. 

Обнаружен в октябре 2016 г. Ориентирован на англоязычных пользователей. В последствии претерпел немало модификаций. 

Запиской с требованием выкупа выступает блокировщик экрана CryptoWire.


Содержание текста с экрана блокировки:
Your files has been safely encrypted
*** buttons ***
The only way you can recover your files it to buy a decryption key
The payment method is: Bitcoins. The price if: $200 = 0.29499335 Bitcoins
Click on the 'Buy decryption key' button.

Перевод текста на русский язык:
Твои файлы безопасно зашифрованы
*** кнопки ***
Только одним способом ты можешь вернуть свои файлы, это купить ключ дешифрования
Способ оплаты: биткоины. Цена: $200 = 0.29499335 биткоина
Нажмите кнопку 'Buy decryption key'.

Другие скриншоты:





Технические детали

После реализации этого проекта крипто-вымогатель может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

➤ На системном диске вымогателем выполняется ряд деструктивных функций:
- удаляются тома теневых копий файлов;
- отключается исправление системы при загрузке;
- отключается восстановление системы из точек восстановления. 

➤ Файлы шифруются не на основе расширения, а по размеру. Максимальный предельный размер файла 30 Мб, размер регулируется. Это нужно для того, чтобы сохранить высокую производительность ПК, в то время как большинство файлов будут шифроваться.


➤ Шифруются все файлы (меньше 30 Мб) на локальных и сетевых дисках, общих сетевых ресурсах, USB-накопителях, внешних дисках, файлы игр, включая Steam, файлы на любом облачным сервисе, который работает на данном ПК (Onedrive, Dropbox, Google Drive). Шифровать все файлы или выборочно заложено в настройках исходника.  

Список файловых расширений, подвергающихся шифрованию (в исходнике):
.3fr, .7z, .abw, .accdb, .afsnit, .ai, .aif, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .cr2, .crt, .crw, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .ding, .dng, .doc, .docm, .docx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .eml, .emlx, .eps, .eps, .epub, .erf, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hds, .himmel, .hpp, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lie, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .ogg, .one, .orf, .ova, .ovf, .oxps, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pdd, .pdf, .pef, .pem, .pem, .pet, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pi, .pl2, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rify, .rm, .rtf, .rtf, .rw2, .rwl, .s, .sbf, .set, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcf, .vdi, .ved, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .wav, .wb2, .wblc, .wbve, .webm, .wmb, .wpb, .wpd, .wps, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xz, .yuv, .zip, .zipx (283 расширения). 

➤ Старые незашифрованные файлы перезаписываются по 10 раз, а затем удаляются навсегда. Зашифрованные файлы оставляются на случай возврата после уплаты выкупа. Всё, что находится в RecycleBin будет перезаписано 10 раз и удалено навсегда.

➤ Если ПК жертвы присоединён к домену (ПК компании), то сумма выкупа будет в 10 раз больше (регулируется).

Файлы, связанные с CryptoWire Ransomware:
CryptoWire.exe
<random_name>.exe
README.txt

Записи реестра, связанные с CryptoWire Ransomware:

См. ниже Гибридный анализ. 

Сетевые подключения:
blockchain.info (104.16.54.3)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - см. здесь, ниже.
KingOuroboros - июнь 2018




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 марта 2017:
Файл: BTC hacker v14.2 by ignisteam.exe
Расширение: .encrypted
Шаблон зашифрованного файла: <original_file_name>.encrypted.<original_file_extension>
Записка: TEXT FILE.txt
Сумма выкупа: 500$
Email: hugoran1@gmx.com
Результаты анализов: VT

Вариант от 10 марта 2017:
Доп. название: OwlRansomware
Файл: OwlRansom.exe
Результаты анализов: VT


Обновление от 5 апреля 2017:

Пост в Твиттере >>
Файл: AA_V3.exe
Заголовок экрана блокировки: realfs0ciety@sigaint.org.fs0ciety
Промежуточное расширение: .realfs0ciety@sigaint.org.fs0ciety
Это расширение добавляется в название файла, между его именем и расширением. Оригинальное имя файла и его расширение не изменяются. 
Видеообзор от GrujaRS >>
Результаты анализов: HA+VT

=== 2018 ===

Обновление от 12 апреля 2018:
Пост в Твиттере >>
Заголовок экрана блокировки: CryptoWire 
Код разблокировки: VgjRPoOM0oa92_jId!/wkMeW6,guuSe
Промежуточное расширение: .encrypted
Добавляется между оригинальным именем и оригинальным расширением файла, как и раньше. 
Email: wlojul@secmail.pro
Результаты анализов: HA + VT + VMRay


 Скриншоты экрана блокировки

➤ Список файловых расширений:
.3fr, .7z, .abw, .accdb, .afsnit, .ai, .aif, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .cr2, .crt, .crw, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .dmg, .dng, .doc, .docm, .docx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .eml, .emlx, .EPS, .eps, .epub, .erf, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hds, .himmel, .hpp, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .M3U, .M4A, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .ogg, .one, .orf, .ova, .ovf, .oxps, .p12, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pct, .pdd, .pdf, .pef, .PEM, .pem, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .PSD, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rm, .rtf, .rtf, .rw2, .rwl, .s, .sbf, .set, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .wav, .wb2, .wbk, .wbverify, .webm, .wmb, .wpb, .wpd, .WPS, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .XLSX, .xlsx, .xz, .yuv, .zip, .zipx (282 расширения).
В определённых папках пользователя, например, на Рабочем столе, он шифрует все найденные файлы. 
➤ Содержание текста о выкупе: 
The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoins. The price is: $1000 = Bitcoins
When you are ready, send a message by email to wlojul@secmail.pro
We will send you our BTC wallet for the transfer
After confirmation we will send you the decryption key
Click on the 'Buy decryption key' button.


=== 2019 ===

Обновление от 27 апреля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Самоназвание:  BellevueCollegeEncryptor
Вместо расширения используется вставка DesktopReadme между названием файла и его расширением. Пример такого файла: 1DesktopReadme.jpg
Записка: 
Email: BellevueInject@openmailbox.org
BTC: bc1q2m68av8knhz9zkexzz8dn8ll9wyxz76ss47upm
URL: http://www.bellevueinject.dx.am/***
Мьютекс: BellevueCollegeEncryptor
Результаты анализов: VT + VMR





=== 2020 ===

Обновление от 14-15 февраля 2020:
Пост в Твиттере >>

Пост в Твиттере >>
Самоназвание: JackSparrow 
Как и прежде вместо расширения используется вставка в название по шаблону: original_file_name.encrypted.original_file_extension
Email: jacksparrow@protonmail.com
Файл: JackSparrow.exe
Результаты анализов: VT + VMR + HA / VTVT + VTVT + VT 

  



Обновление от 24 июля 2020: 
Пост в Твиттере >>
Самоназвание FlyingShip Ransomware
Email: flyingship@mail2tor.com
BTC: 169M3wiaij1zucuASBXTT6egQuQJBckBrt
Результаты анализов: VT + VMR


Содержание текста на экране:
The only way you can recover your files is to buy a decryption key, After you buy the required amount send the payment to 169M3wiaij1zucuASBXTT6egQuQJBckBrt, After you send the payment, please send your PC ID to this email: flyingship@mail2tor.com to get your decryption key
PC ID: YY8PSNGThe payment method is: Bitcoins. The price is: $200 = Bitcoins
Click on the 'Buy decryption key' button.







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: 
ID Ransomware (ID as CryptoWire)
Video review
Tweet on Twitter 
Added later:
Write-up on April 12, 2018
*
*
 Thanks: 
 Michael Gillespie, Karsten Hahn
 GrujaRS, 
 Bart

© Amigo-A (Andrew Ivanov): All blog articles.

Hucky

Hucky Ransomware
Hungarian Locky Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп, чтобы вернуть файлы. Название получил от составления частей слов Hungarian Locky: Hu + cky. Такое решение было принято исследователями из компании Avast из-за стремления вымоагтелей-разработчиков выдать своё творение за настоящий Locky. 

© Генеалогия: Locky > Hungarian Locky

К зашифрованным файлам добавляется расширение .locky. Настоящее имя файла не меняется. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на венгерских пользователей.

Записки с требованием выкупа называются: 
_Adatok_visszaallitasahoz_utasitasok.txt (т.е. Инструкции по восстановлению данных)
_locky_recover_instructions.txt
Fontos Informacio.bmp


Содержание записки о выкупе:
!!! FONTOS INFORMÁCIÓ !!!!
Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal.
RSA és az AES titkosításokról itt olvashat részletesebben :
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra.
A kulcs megszerzéséhez kérem kövesse az alábbi lépéseket:
1. Küldje el e-mailbe a azonosító kódját locky@mail2tor.com címre !
Ha gondolja küldje el egy 1 Mb-nál kisebb fájlját és visszakódoljuk.
Hogy bebizonyítsuk képesek vagyunk visszaállítani az adatait.
(Kérem az e-mail csak a azonosító kódot valamint az esetleges csatolmányt tartalmazza)
3. Figyelje e-mail fiókját mert 24 órán belül levelet küldünk önnek !
A levélben megkapja a visszakódolt fálját,valamint a vissza titkosító programot.
Kövesse a levélben lévő utasításokat I
!!! Az ön azonosító kódja !!!
***
↑ Ezt a hosszú kódot a jegyzettömbből lehet kimásolni

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все файлы зашифрованы с помощью шифрования RSA-3072 и AES128.
О RSA и AES шифрах можете узнать больше здесь:
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы вернуть файлы, нужно получить секретный ключ и программу дешифрования.
Чтобы получить ключ, пожалуйста, выполните следующие действия:
1. Отправьте на email-адрес locky@mail2tor.com идентификационный код!
Если хотите, пришлите файл в размере 1 МБ для расшифровки.
Для того, чтобы доказать, что мы можем восстановить данные.
(Пожалуйста, email должно содержать только идентификационный код, а также вложении)
3. Обратите внимание, проверяйте почту, мы вышлем вам письмо в течение 24 часов!
Вы получите во ввложении расшифрованный файл и программу дешифрования.
Следуйте инструкциям в письме.
!!! Ваш идентификационный код !!!
***
 Этот длинный код может быть скопирован из блокнота

Как показал анализ, вымогательский текст был переведен на венгерский с помощью системы автоматизированного перевода, в том числе в тексте отсутствует пункт 2 и сразу после 1-го идет 3-й. 

Распространяется Hucky с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Создатели этого венгерского крипто-вымогателя стремились к тому, чтобы запугать своих жертв "крутым" шифровальщиком Locky. Перечислим ряд замеченных исследователями признаков и сравним их с признакоами реального Locky. 

Первым их них является расширение .locky, добавляемое к зашифрованным файлам, тогда как реальный Locky уже давно "отказался" от его использования. Также Hucky, в отличие от реального Locky, выполняет шифрование в автономном режиме, т.е. без обращения к C&C-серверу. 

Пока пользователь, неострожно открывший вредоносное влложение, просматривает фиктивный документ Word, производится шифрование файлов. Hucky может перезапустить ПК после завершения процесса шифрования, чтобы удалить свои файлы и следы работы, которые могут помочь узнать ключ дешифрования. 

Требования выкупа Hucky отображает на венгерском в виде текстовых файлов и дублирует их на изображении, встающем обоями рабочего стола. Тогда как реальный Locky выводил тексты только на английском языке. Locky запрашивал уплату Bitcoin через Tor-сайт, а Hucky требует от жертвы написать на email адрес в Mail2Tor. На изображение Hucky, встающем обоями, есть маленькая картинка жёлтого замка, которого у реального Locky нет.

Список файловых расширений, подвергающихся шифрованию, у Hucky состоит всего из 200 шт., что составляет лишь половину списка, используемого Locky. Вымогатель Hucky кроме того нацелен на видео-файлы игр, которые используются в StarCraft2, World of Tanks и Minecraft.

Другим отличием является используемый язык программирования: Locky был создан с помощью Microsoft Visual C ++, а Hucky основан на Microsoft VisualBasic.

Все диалоги Hucky с жертвами написаны на венгерском языке. Исполняемые файлы Hucky распространяются только в Венгрии и связаны с такими названиями, как semmi.exe (венгерское слово "ничто") или turul.exe (название венгерского национального символа). Кроме того, венгерский текст используется в коде Hucky, в пространстве имён, методах, переменных и т.д.

Список файловых расширений, подвергающихся шифрованию:
200 расширений, в их числе файлы документов MS Office, PDF, изображения, аудио-видео, файлы игр. 

Файлы, связанные с Hucky Ransomware:
_Adatok_visszaallitasahoz_utasitasok.txt (Инструкции по восстановлению данных)
_locky_recover_instructions.txt
\Startup\mgtow.exe
\Startup\Java Update.exe
\Startup\Fontos Informacio.bmp
\Temp\monodocu.dat
\Temp\d3m4g0g.dat
\Temp\\[A-Za-z0-9]{6}\.bat$/

Записи реестра, связанные с Hucky Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Blog Avast
 ID Ransomware
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *