суббота, 23 сентября 2017 г.

RedBoot

RedBoot Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться оп email, чтобы уплатить выкуп за разблокировку компьютера. Оригинальное название: RedBoot. На файле может быть написано, что угодно. Написан на AutoIT. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

После запуска UAC не обходит, требует разрешение этой защиты. Если UAC отключена, то шифрует файлы и перезагружает систему. После чего модифицирует MBR и таблицу разделов, потом выводит перед жертвой следующее сообщение на красном фоне:

Содержание текста с экрана:
This computer and all of it's files have been locked! Send an email to redboot@memeware.net containing your ID key for instructions on how to unlock them. Your ID key is D12066304A455351F1C9C703432319BEA7061624_

Перевод на русский язык:
Этот компьютер и все его файлы блокированы! Отправьте email на адрес redboot@memeware.net, включив ваш ID ключ, для инструкций по разблокировке. Ваш ID ключ D12066304A455351F1C9C703432319BEA7061624_



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После выполнения RedBoot извлекает 5 других файлов в случайную папку в каталоге, из которого был запущен: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Файл boot.asm, кроме того, будет компилирован в boot.bin. После завершения компиляции файла boot.bin файлы boot.asm и assembly.exe удаляются.

Подробнее о каждом из этих файлов: 
assembler.exe - разноимённая копия nasm.exe, которая используется для компиляции файла сборки boot.asm в файл boot.bin главной загрузочной записи (MBR). 
boot.asm - файл сборки, который будет скомпилирован в новую главную загрузочную запись.
boot.bin - файл новой главной загрузочной записи, полученный в результате компиляции boot.asm
overwrite.exe - программа, которая используется для перезаписи существующей главной загрузочной записи в новую.
main.exe - это шифратор для пользовательского режима, который шифрует файлы на компьютере.
protect.exe - исполняемый файл, завершающий работу и предотвращающий запуск различных программ, включая диспетчер задач и processhacker.

Изменив таблицу разделов RedBoot не сможет её восстановить даже после уплаты выкупа, потому жёсткий диск вымогателями не будет восстановлен. 

Внимание! В большинстве возможных случаев MBR и таблицу разделов можно восстановить специализированными программами для восстановления, в том числе и бесплатными. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
extract: boot.asm, assembler.exe, main.exe, overwrite.exe, protect.exe
boot.asm > boot.bin

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: redboot@memeware.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (main.exe) >>
VirusTotal анализ (nasm.exe) >>
VirusTotal анализ (overwrite.exe) >>
VirusTotal анализ (protect.exe) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RedBoot)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 сентября 2017 г.

Wyvern BTCWare

Wyvern Ransomware

Wyvern BTCWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что угодно.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: BTCWare >> Wyvern

К зашифрованным файлам добавляется составное расширение по шаблону .[email]-id-<id>.wyvern

Примеры зашифрованных файлов: 
file1.jpg.[decryptorx@cock.li]-id-89085061.wyvern
file2.doc.[decryptorx@cock.li]-id-89085061.wyvern
file3.png.[decryptorx@cock.li]-id-89085061.wyvern


Примеры зашифрованных файлов

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.hta
Записка о выкупе

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decryptorx@cock.li
You have to pay for decryption in Bitcons. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total see of files must be less than 1Mb (non archved), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcolns
The easiest way to buy bitcoins is localBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners gude here:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail decryptorx@cock.li
Вы должны заплатить за дешифрование в битконах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общее количество файлов должно быть меньше 1 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить Bitcoins
Самый простой способ купить биткойны - сайт localBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткойнов и руководство для новичков:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
<random>.exe

Расположения:
\%APPDATA%\HELP.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptorx@cock.li
См. ниже результаты анализов.


Связанный открытый ключ Wyvern RSA:
Открыть:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCitOoG+zT+UHs8xu7rCRSzj1XFlhatpoG4/dqLm45JWUMo1Usokd2KAOvZQQWIi6AtAqe2XwG3zsu3Mt97LzU/9t5lf30RuNP3y422gX6XvBATeDSyZObsjcx0TeV+r4WR563EsQp19YMAbr9hOfjwJwfzhZJ4ODbRcHBQyWab+wIDAQAB -----END PUBLIC KEY-----

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
  Lawrence Abrams
  Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 20 сентября 2017 г.

Shark CryptoMix

Shark Ransomware
Shark CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Admin и explorer.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error, Empty > Shark

Фактические дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Error Ransomware и Empty Ransomware

К зашифрованным файлам добавляется расширение .SHARK

Примеры зашифрованных файлов: 
0D3302A82EAB8DB064EAEB4131BF6A94.SHARK
1A62DDA0116A4A60CCEFBA1E14882C1C.SHARK
2A3E60AC3F9C49C0EI9AC7A9444629A0.SHARK

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
Shark CryptoMix Ransomware

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
shark01@msgden.com
shark02@techmail.info
shark003@protonmail.com
We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером
shark01@msgden.com
shark02@techmail.info
shark003@protonmail.com
Мы поможем Вам как можно скорее!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Admin"="C:\ProgramData\[Random].exe""
См. ниже результаты анализов.

Сетевые подключения и связи:
shark01@msgden.com
shark02@techmail.info
shark003@protonmail.com
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 сентября 2017 г.

Ykcol-Locky

Ykcol-Locky Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.25 BTC (это $1025), 0.5 или 0.6 BTC, чтобы вернуть файлы. По факту это новая итерация Locky.


Locky Ransomware
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky > Ykcol-Locky 

К зашифрованным файлам добавляется расширение .ykcol

С использованием расширения .ykcol зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
1FAY15Z5-WX31-H6QE-0D6C04F0-E3F3238EB777.ykcol
2DAG33S5-GX45-K5QW-3R76FA43-5SF033FB05E5.ykcol
5DYGW65W-P3PQ-ZANZ-B917F197-7A4E0028460F.ykcol

Разложим на составляющие названия файл 1FAY15Z5-WX31-H6QE-0D6C04F0-E3F3238EB777.ykcol

1FAY15Z5 — первые восемь 16-ричных символов от ID E87091F1D24A922B
WX31 — другие четыре 16-ричных символов от ID E87091F1D24A922B
H6QE — другие четыре 16-ричных символов от ID E87091F1D24A922B
0D6C04F0 — восемь 16-ричных символов, входящих в переименованное название файла
E3F3238EB777 — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol
короче
[first_8_hex_chars_id]-[next_4_hex_chars_id]-[next_4_hex_chars_id]-[4_hex_chars]-[12_hex_chars].ykcol
ещё короче
[8_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars]-[12_hex_chars].ykcol

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ykcol.htm и ykcol-<random>.htm или ykcol-<a-z][0-9]{4}>
где диапазон [a-z] означает буквы английского алфавита, [0-9] - означает цифры от 0 до 9, а {4} - количество знаков - в данном случае четырех. 
Примеры записки: 
ykcol-4412.htm
ykcol-cad3.htm
ykcol-2d58.htm
Ykcol-Locky Ransomware


Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA ancl AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(crytosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
If all of tins addresses are not available, follow these steps:
1. Download and install Tor Browser: https: www.torproiect org download download-easv.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/1FAY15Z5WX31H6QE
4. Follow the instructions on the site.
!!! Your personal identification ID: 1FAY15Z5WX31H6QE !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
xxxx://en.wikipedia.org/wiki/RSA_(crytosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифрование ваших файлов возможно только с секретным ключом и программой дешифровки, которая есть на нашем секретном сервере.
Чтобы получить свой секретный ключ, идите по одной из ссылок:
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor Browser: https://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/1FAY15Z5WX31H6QE 
4. Следуйте инструкциям на сайте.
!!! Ваш идентификационный номер: 1FAY15Z5WX31H6QE !!!

В другом варианте ID: 5DYGW65WP3PQZANZ


Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола. Это файл ykcol.bmp. 
Ykcol-Locky Ransomware 

После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, например, в данном случае это 0.25 BTC. 
Ykcol-Locky Ransomware
Скриншот сайта Locky Decryptor с требованиями

Содержание текста о выкупе:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
    1. You can make a payment with BitCoins, there are many methods to get them.
    2. You should register BitCoin wallet:
    Simplest online wallet or Some other methods of creating wallet
    3. Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
    Here are our recommendations:
    localbitcoins.com (WU) Buy Bitcoins with Western Union.
    coincafe.com Recommended for fast, simple service.
    Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
    localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
    cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    btcdirect.eu The best for Europe.
    bitquick.co Buy Bitcoins instantly for cash.
    howtobuybitcoins.info An international directory of bitcoin exchanges.
    cashintocoins.com Bitcoin for cash.
    coinjar.com CoinJar allows direct bitcoin purchases on their site.
    anxpro.com
    bittylicious.com
    4. Send 0.25 BTC to Bitcoin address:
    Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
    Date Amount BTC Transaction ID Confirmations
    ***
    5. Refresh the page and download decryptor.
    When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.


Перевод текста на русский язык:
Locky Decryptor™
Мы представляем специальную программу - Locky Decryptor ™ -
Которая позволяет расшифровывать и возвращать управление всеми вашими зашифрованными файлам.
Как купить Locky Decryptor ™?
    1. Вы можете сделать платеж с помощью биткойнов, есть много способов их получить.
    2. Вы должны зарегистрировать кошелек-кошелек:
    Самый простой онлайн-кошелек или некоторые другие способы создания кошелька
    3. Приобрести биткойны, хотя покупать биткойны еще непросто, с каждым днем ​​становится все проще.
    Вот наши рекомендации:
    Localbitcoins.com (WU) Купить биткойны с Western Union.
    Совместный подход. Рекомендуется для быстрого и простого обслуживания.
    Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В Нью-Йорке: кошелек-банкомат, наличными.
    Localbitcoins.com сервис позволяет вам искать людей в вашем сообществе, готовых напрямую продавать вам биткойны.
    Cex.io Купить биткойны с VISA / MASTERCARD или банковским переводом.
    Btcdirect.eu - Лучшее для Европы.
    Bitquick.co - Купить биткойны мгновенно за наличные.
    Howtobuybitcoins.info - Международный каталог биткойн-бирж.
    Cashintocoins.com - Биткойн за наличные.
    Coinjar.com CoinJar позволяет напрямую покупать биткойн на своем сайте.
    anxpro.com
    bittylicious.com
    4. Отправьте 0.25 BTC на биткойн-адрес:
    Примечание. Для подтверждения транзакции нужно до 30 минут или более, пожалуйста, будьте терпеливы ...
    Дата Сумма BTC Транзакции ID Подтверждение 
***
    5. Обновите страницу и загрузите дешифратор.
    Когда транзакции Bitcoin получат одно подтверждение, вы будете перенаправлены на страницу для загрузки дешифратора.




Технические детали

Распространяется через email-спам, письма которых имеют тему "Status of invoice" (Состояние счета-фактуры) и 7z-архив во вложении. Во вложении находится VBS-файл, который при выполнении загружает исполняемый файл Locky с удаленного сайта и выполняет его. В VBS-файле содержатся один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Ykcol-Locky в папку %Temp%, а затем запустит его, чтобы шифровать файлы. 
Название темы может быть и другим, например, просто "Invoice" с датой, буквенно-цифровой архив или записан как-то иначе. 
  

Скриншоты спам-писем с вредоносным вложением в 7z-архиве

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Status of invoice.7z {VBS} - вредоносное вложение к письму.
sys6B02.tmp (по шаблону это sys<random>.tmp)
<random>.exe
ykcol.htm
ykcol-<random>.htm
ykcol.bmp

Расположения:
%TEMP%\sys6B02.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 16DzQLY9fN7EVsaihgndBwQaXjzPQSYhhp

URL-адреса и связи:
xxxp://g46mbrrzpfszonuk.onion - Tor-сайт
xxxp://geolearner.com/JIKJHgft - URL-адрес в скрипте
xxxp://naturofind.org/p66/JIKJHgft - URL-адрес в скрипте
xxxp://cabbiemail.com/JIKJHgft - URL-адрес в скрипте
xxxp://abelfaria.pt/87thiuh3gfDGS
xxxp://cedipsa.com/87thiuh3gfDGS
xxxp://grovecreative.co.uk/87thiuh3gfDGS
xxxp://lanzensberger.de/87thiuh3gfDGS
xxxp://miliaraic.ru/p66/87thiuh3gfDGS
xxxp://pielen.de/87thiuh3gfDGS
xxxp://qstom.com/87thiuh3gfDGS
xxxp://saitis.eu/87thiuh3gfDGS
xxxp://troyriser.com/87thiuh3gfDGS
xxxp://unifiedfloor.com/87thiuh3gfDGS
xxxp://w4fot.com/87thiuh3gfDGS
xxxp://web-ch-team.ch/87thiuh3gfDGS
xxxp://www.elitecommunications.co.uk/87thiuh3gfDGS
xxxp://yildizmakina74.com/87thiuh3gfDGS
xxxp://troyriser.com/***
и другие...
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>


Обновление от 21 сентября 2017:
TrendLabs сообщили, что в рамках этой вредоносной кампании операторы Locky используют несколько типов email-спама. 
1) Поддельное письмо якобы от компании "Herbalife International" с вложением в виде 7z-архива, замаскированного под квитанцию. 
2) Пустое письмо якобы с копией сообщения в 7z-архиве, у которого в графе отправителя написано "copier". 
3) Поддельное письмо, якобы уведомление от vmservice (службы голосовой почты, voicemail service) с вложением в виде архива msg0745.7z, замаскированного под архив сообщений. 
1)  2)

3) 
Скриншоты писем с вложениями

Топ 10 стран, пострадавших от нападений, с учетом трех типов email-спама, см. по ссылке на статью TrendLabs

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Locky)
 Write-up, Topic of Support, Write-up
 Video review + Tweet
 Thanks: 
 Derek Knight, Lawrence Abrams
 Michael Gillespie
 GrujaRS
 TrendLabs
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

воскресенье, 17 сентября 2017 г.

NIBIRU

NIBIRU Ransomware

Hackers Invasion Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: NIBIRU. На файле написано: NIBIRU1.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> Hackers Invasion

К зашифрованным файлам добавляется расширение .Doxes

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, пока еще в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком HACKERS INVASION.

Содержание текста о выкупе:
HACKERS INVASION
YOU HAVE EVERY REASON TO PANIC, BECAUSE WE JUST DROPPED OUR "NUKES" ON YOU. YOU TEND TO LOOSE TENS OF MILLIONS OF DOLLARS
IF YOU DARE TAKE US WITH LEVITY. ALL YOUR IMPORTANT FILES, SCREEN, DOCUMENTS, DATAS, MP3S, AND VIDEO ARE HACKED/LOCKED FOR NOW.
WE ARE READY TO GIVE YOU THE KEY TO GET ALL YOUR FILES, DOCUMENTS AND YOUR LIFE BACK IF ONLY YOU PAY $120,000 WITHIN 54 HOURS. IF YOU DELAY YOU PAY $1 MILLION TO US.
67bdfezx47n3FRTZd6dUXMTPk5ZV4re9bY2D
[MORE DETAILS]   [CONTACT HACKERS]
(1)Google Paxful.com 
(2)SIGN UP AND GET A BITCOIN WALLET
(3)BUY $120,000 WORTH OF BITCOIN 
(4)PAY INTO OUR BITCOIN ADDRESS
ABOVE 
(5)SEND THE PAYMENT PROOF TO OUR CONTACTS 
(6)YOU GET KEY
(1) HillaryTrump@protonmail.com
(2) James.cute@mail.com
ENTER KEY [...]  [DECRYPT]

Перевод текста на русский язык:
ВТОРЖЕНИЕ ХАКЕРОВ
У вас есть все основания для паники, потому что мы просто сбросили наши "ядерные бомбы" на вас. Вы, как правило, теряете десятки миллионов долларов
Если вы думаете легко отделаться. На данный момент все ваши важные файлы, экран, документы, данные, mp3 и видео взломаны / заблокированы.
Мы готовы предоставить вам ключ, чтобы вернуть все ваши файлы, документы и вашу жизнь, если вы только платите 120 000 долларов в течение 54 часов. Если вы задержитесь, вы заплатите нам 1 миллион долларов.
67bdfezx47n3frtzd6duxmtpk5zv4re9by2d
[ПОДРОБНЕЕ] [СВЯЗЬ С ХАКЕРАМИ]
(1) гуглите paxful.com 
(2) зарегистрируйте биткойн-кошелек
(3) купите биткойн на $120000 
(4) заплатите на наш биткойн-адрес выше 
(5) отправьте подтверждение платежа на наши контакты 
(6) вы получите ключ
(1) HillaryTrump@protonmail.com
(2) James.cute@mail.com
ВВОД КЛЮЧА [...]  [ДЕШИФРОВАТЬ]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.


Окно шифровальщика

Файлы, связанные с этим Ransomware:
NIBIRU1.exe

Код разблокировки: 
AnikulapoFela70

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *