вторник, 16 января 2018 г.

KillBot_Virus

KillBot_Virus Ransomware
KillBot.Prime Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KillBot Virus с вариациями. На exe-файле в данный момент написано: KILLBOT.PRIME.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillBot_Virus > KillBot.Prime

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока имеет недоработанный функционал и ничего не шифрует, только пугает.  

Запиской с требованием выкупа выступает следующий скриншот, вероятно, экран блокировки или его часть.

Содержание записки о выкупе:
Oops your important data was encrypted with an AES encryption algorithm!!
<Killbot Virus>
If you see this banner then all of your important files have been encrypted and the executable format files were infected
What is this?
Killbot is a virus that encrypts files and data and infects them
As you became it's victim please make sure to read all the info below.
WARNING!: THIS IS NOT SOME JOKES EVERYTHING IS REAL!
ALSO DO NOT TRY TO CLOSE OR EVEN DELETE THE SOFTWARE IF YOU DO YOUR PC WILL BE DESTROYED!
Your files cannot be restored, however there are some steps to follow if you donft want it on your computer.
Step 1: Please get a windows reinstallation CD and reinstall windows on your computer.
Step 2: Get a powerful antivirus software and update it to the latest version.
Please do everything as it was written if you want to get your PC back
</Killbot Virus>

Перевод записки на русский язык:
Увы, ваши важные данные зашифрованы с алгоритмом шифрования AES!
<Killbot Virus>
Если вы видите этот баннер, то все ваши важные файлы зашифрованы, а исполняемые файлы заражены
Что это?
Killbot - это вирус, который шифрует файлы и данные и заражает их
Раз вы стали жертвой, обязательно прочитайте всю информацию ниже.
ПРЕДУПРЕЖДЕНИЕ!: ЭТО НЕ ШУТКА, ВСЕ РЕАЛЬНО!
ТАКЖЕ НЕ ПЫТАЙТЕСЬ ЗАКРЫТЬ ИЛИ ЖЕ УДАЛИТЬ ПРОГРАММУ, ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ТО ВАШ ПК ПОСТРАДАЕТ!
Ваши файлы не могут быть восстановлены, но можно предпринять некоторые шаги, если вы не хотите этого на своем компьютере.
Шаг 1. Загрузите CD с Windows и переустановите Windows на своем компьютере.
Шаг 2. Получите мощную антивирусную программу и обновите её до последней версии.
Пожалуйста, сделайте все, как было написано, если вы хотите вернуть свой компьютер
</Killbot Virus>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLBOT.PRIME.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 15 января 2018 г.

BigEyes

BigEyes Ransomware

LimeDecryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Hsociety и BigEyes. На файле проекта написано: BigEyes.pdb.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lime

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком #Lime Decryptor:


Информатором жертвы также выступает изображение, встающее обои Рабочего стола.  

Содержание записки о выкупе:
All your files have been encrypted
But You can still recover your files
Just send us 100$ Bitcoin, And we will give you your files back
After you pay us, send us email r3vo@protonmail.com
include your transaction number
This is Ransomware, It's not a joke
Thanks
Bye

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Но вы можете вернуть свои файлы
Просто отправьте нам 100$ в биткоинах, и мы вернем вам ваши файлы
После того, как вы заплатите нам, пришлите нам email на r3vo@protonmail.com
укажите номер транзакции
Это Ransomware, это не шутка
Спасибо
Пока



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
#BackGround.png
#Decryptor.exe
BigEyes.exe
\hash\ - скрытая папка с AES-ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Microsoft\hash
\Desktop\#BackGround.png
\Desktop\#Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: r3vo@protonmail.com
BTC: 1PNh6dmaUtv96C7ezTdUqVvfWBUYuCBbUM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на Crypt.exe >>
VirusTotal анализ на BigEyes.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, SDK
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Velso

Velso Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: [redacted base64]

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: [redacted base64]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 13 января 2018 г.

MoneroPay

MoneroPay Ransomware
SpriteCoin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 monero, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files are encrypted
If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to:
46FXmRvyffu59N***
Make sure you include your payment ID:
Use CTRL +C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time — only we can decrypt your files.
If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.
[DECRYPT]
FAQ
• What is monero?
   Monero is a cryptocurrency, like bitcoin.
• How do I get monero?
   You can buy monero in many of the same places you can get bitcoin. [More info]
• What happens if I don't pay?
***

Перевод текста на русский язык:
Ваши файлы зашифрованы
Если вы закроете это окно, то всегда сможете перезапустить его, и он должен появиться снова.
Все ваши файлы были зашифрованы нами. Это значит, что вы не сможете получить к ним доступ или использовать их. Чтобы получить их, вы должны отправить 0.3 monero (около 120$ США) на:
46FXmRvyffu59N ***
Убедитесь, что вы указали свой идентификатор платежа:
Используйте CTRL + C, чтобы скопировать оба
ЕСЛИ ВЫ НЕ ВКЛЮЧИТЕ ВАШ PAYMENT ID, ВАШИ ФАЙЛЫ НЕ БУДУТ ДЕШИФРОВАНЫ. Не тратьте свое время - только мы можем расшифровать ваши файлы.
Если вы заплатили, нажмите кнопку DECRYPT, чтобы вернуть файлы в нормальное состояние. Не беспокойтесь, мы вернем вам ваши файлы, если вы заплатите.
[DECRYPT]
Вопросы-Ответы
• Что такое monero?
    Monero - это криптовалюта, как биткоин.
• Как получить monero?
    Вы можете купить monero во многих местах, где можете получить биткоин. [Больше информации]
• Что будет, если я не заплачу?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Распространяется в составе дистрибутива для генерации вымышленной крипто-монеты SpriteCoin. Под видом его установки запускается шифровальщик. 
   

 Скриншоты "установщика"

Сообщения о фальшивой криптовалюте


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
spritecoind.exe
spritecoinwallet.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 10 января 2018 г.

EncryptServer2018

EncryptServer2018 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные на серверах с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Разработчик: Tornado.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .2018

Зашифрованные файлы переименовываются. 
Пример зашифрованного файла: aRx9KCdQaxM7QyxMHlwoEx8hYkNdIlNV***.2018

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!!!.txt 

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail:  tornado_777@aol.com or BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID ***


Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот идентификатор в заголовке вашего сообщения
Чтобы восстановить файлы надо написать нам по email: tornado_777@aol.com или BM-2cXXgKo8HzUmijt8KMywZYHm8xDHhwwgg@bitmessage.ch
Цена восстановления зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который будет дешифровать все ваши файлы.
ГАРАНТИИ!!!
Вы можете отправить нам до 3 файлов для бесплатного дешифрования.
  - файлы не должны содержать важную информацию
  - и их общий размер должен быть меньше 1 МБ
КАК ПОЛУЧИТЬ БИТТОНЫ !!!
Самый простой способ купить биткойны - это сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoyne" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
ВАЖНЫЙ !!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных!
Ваш ID ***



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!!!.txt 
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tornado_777@aol.com
BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Unrans

Unrans Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RansomText.txt

Запиской с требованием выкупа выступает страница Tor-сайта.

Содержание записки о выкупе:
Ransomware! Your personal files have been encrypted!
Files can be recover for 0.5 Bitcoin to 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Encryption date : 12/01/2018 20:30:29
Check in RansomText.txt your unique ID and submit it to get your encryption key or your time limit before price increase :
Price will be increase in
0days 23hrs 59mins 42secs
To get a proof of recovering, send an encrypted file (lower than 5MB) to krom.mork@openmail.cc with your unique ID (in RansomText.txt), we will return you the orignal file.
Help With Buying Bitcoins
As soon as your payment has been received, we will unblock your unique ID and send you your key encryption. Unrans script already on infected computer or download it here : Unrans.ps1 

Перевод записки на русский язык:
Ransomware! Ваши личные файлы зашифрованы!
Файлы можно вернуть за 0,5 биткоина на 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Дата шифрования: 12/01/2012 20:30:29
Проверьте в RansomText.txt свой уникальный ID и отправьте его, чтобы получить ключ шифрования или ваш лимит времени до повышения цены:
Цена будет расти
0дней 23 часа 59 минут 42 секунды
Чтобы подтвердить восстановление, отправьте зашифрованный файл (менее 5 МБ) на krom.mork@openmail.cc с уникальным ID (в RansomText.txt), мы вернем вам оригинал файла.
Помощь в покупке биткоинов
Как только ваш платеж будет получен, мы разблокируем ваш уникальный ID и отправим вам ваше ключ шифрования. Unrans-скрипт уже на зараженном компьютере или загрузите его здесь: Unrans.ps1



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomText.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: krom.mork@openmail.cc
TOR: xxxx://hxpoklw6l556364m.onion/
BTC: 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro‏
 Catalin Cimpanu 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LazagneCrypt

BRC Ransomware
LazagneCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название и название проекта: brc. На файле написано: brc.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encr

Для справки:
LaZagne - это приложение с открытым исходным кодом, используемое для получения паролей, сохранённых на локальном компьютере. 
SwissDisk - это облачное хранилище в Интернете, опирающееся на криптографию секретного ключа и SSL, позиционируется как безопасное. 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: нет данных.


Содержание записки о выкупе (текст представлен кусками): 
Personal files on your computer have been encryptedwith strong AES encryptionusing a unique key generated for your computer.
Any attempt to decrypt your files or remove this program will render your files unaccessible forever!
-
If you wish to regain access to your files, please transfer as soon as possible
If you fail to comply within 36h, the ransom will be raised. You have been warned.
After we have received your payment, all encrypted files on your computer will be unencrypted automatically.
If you're not familiar with bitcoins, you can buy them via PayPal or bank transfer at: xxxx://anycoindirect.eu/
-
You can also send emails cursing us or wishing us death, so that emails from people who paid and really need help won't be read.
-
We have received your payment and will now proceed to decrypt your files.
Please do not close this window or shut down your computer until the process is finished.
-
I already paid, but my filesare not being decrypted.
We will look into the problem and, if we need your assistance in solving it, send you instructions on how to decrypt your files.

Перевод записки на русский язык:
***


Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

👉 LazagneCrypt использует инструмент LaZagne для извлечения учетных данных и SwissDisk для загрузки дампов паролей в облачное хранилище. Таким образом, кроме шифровальщика, это еще и похититель паролей. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
brc.exe
Security.lnk

Расположения:
\Windows\Start Menu\Programs\Startup\Security.lnk
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-аккаунта: xxxx://disk.swissdisk.com/tifu17
xxxx://anycoindirect.eu/
Email: wfmmp8@sigaint.org
BTC: 1AGNa15ZQXAZUgFiqJ2i7Z2DPU2J6hW62i
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton