четверг, 31 августа 2017 г.

Arena CryptoMix

Arena Ransomware

Arena CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Arena

К зашифрованным файлам добавляется расширение .arena

Примеры зашифрованных файлов: 
1C0845081CCACEB0D0BFB73C1ED2B2F8.arena
331AA7BA31D29A55FF8E019634547E9D.arena
F06C3C509054X0B7D28ZCDDBB17087B9C3E.arena

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
Arena CryptoMix ransom note

Содержание записки о выкупе:
All your files have been encrypted! 
If you want to restore them, write us to the e-mail : ms.heisenberg@aol.com 
Write this ID in the title of your message DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 number number 
In case of no answer in 48 hours write us to theese e-mails : ms.heisenberg@aol.com 
You have to pay for decryption in Bitcoins. 
The price depends on how fast you write to us. 
After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee 
Before paying you can send us up to 1 files for free decryption. 
The total size of files must be less than 2 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
xxxxs://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beg 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Если вы хотите их восстановить, напишите нам на e-mail: ms.heisenberg@aol.com
Напишите этот ID в заголовке вашего сообщения. DECRYPT-ID-0ee6efae-e541-4***-b***-dca7cd8a7725 номер номер 
В случае отсутствия ответа в течение 48 часов напишите нам на эти email: ms.heisenberg@aol.com
Вы должны заплатить за дешифрование в биткоинах.
Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия 
Перед оплатой вы можете отправить нам до 1 файла для бесплатного дешифрования.
Общий размер файлов должен быть менее 2 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины 
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs: //localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и попросить



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDA3BRgzCL3mmmPIKa8ZLsOWcbodwdpNArYdLO5PQ5enUQYr572jmnGoF5WKy65p41H7WTeWV/ZMXHKUJS87daeGI/C YvPlgpx6ZDuqSVxMLgXDM1vKbJeuoWuZSeo+Kdy1W22CD3amy3a1HCISX068zaVr wKkQqaz3tS2h+JYZ/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCAcL2bv8UxRqZ6DD5VHvsNCAh/ e18CEHVeff1kfCDIB4D9q3/Yu59Mq9P5H7E94m0YlN57eZmJ7uiJth/6/MExv+uw L5izNB/b5CKMuSaqqUsQY27P3yTIfSyWrqQ6Hk2TDljytlvceSFwpWdEFn6B5a5p KnRMzKMSre7zrIUm+QIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK3KhGZ0Tp5NnWzTT8qQSoXNBf noIUpn3M1ubJf8Z6lb2xGWIYPDpmF+H4yKTPZ20vc49SQ6Dbrdwc0/6TzykOMdOv 9BJWYT75kwEufiqv0Gy9ZHKhlpAXJkrWoOMonFqS4T6HOTdkiN+shadQt299bUlu f+TqSqhkhz6Cp9IHbwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8tcLsf2h4fuaJRl9CBkDA5Bs+ CnqGgyOyi3ntolggyIyFcUtiU2mCHMBANUnAjp5Hxk0ODI4ZtlokYgpOWZOP6XYV r5ZGTRzz1IN7ahOSFTpMwCqlafPPqzdAWINdFWQUAaNtNxYwo6jCRyeTTKKNWpH3 Ia4iP9SJjXaytOtbzQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCC6OGfuH1Ht732u4UomMTGb1Kd uQawHQUvhMYzFrWK3x5IMCXnkjJCfGEBcF0FqIMTiYQsY4v2I/71nntIUFLn/usO McdJMMoXCZcErvV8PFRYz7p3QEqKnleUJt10ncib7pZkgqfP5cSx7xymJnj+/fZH 9yVmOlshSkZqNbt6dwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCk9ZSRC7RxXXihK28uJzFY5iAY 2mgaUU16jGijYai5rZGCt5e9+e412HuPlQYvueOsK7bkyCKlnITbYCzYDOXv+k++ Kk9qi7atez0EcPT77cSrWoC/ENFsmdX/kznw3nbxjyVkoSZzFh+MPM50xCl1f05b eHUwrrAaI82GTtQ7DQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHAlC0tOBzqZxJbBpF9qi7jVIz GKmop5KMyZ0SmtShlC4ily37+/TllLq0GWfcUlmepUogmuebAHYFFxblH9PaNCwv MNo+HjMJBLHBchvH4buKtmf/ctaGf3CxFmegE9vG/ne9JiSx6IGe5sK1KZbCPqSO X3IpyKirdSCn33QqWwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCRyCG1kAYipMRe9NKbYX7Z6ndN Ngt3s0sQ1eAYE9+Swnl7etg3KaOhbW0RXIXWW6jMxwrBrGC9JXoLeSe3jREf1lWI nPw/p2GKvERVuf1V+LG0n7fPlKPDLWGhUwi4LxiHmZhrygkG+PBQEhPhyiM7db84 F+QbhSzrRpgPKnMeTQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC9n6bm9GC3UQ8OOB+ahHYuIS3k jkUBOXyKEJKaiebSShdi5pUDAxiObWcks9Ql9Vb/z0S+6h0Ot1iOH9jUQlWlQ8Kt SOoli2eg/Jq42PWL4qW7ejc6qO8KmPvMtsZEqrcwC9Xv0lpx50Xp+cXXf+DUIhhS 7DOwxl7QGcts+oGkpwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC61mhlwTQ1ZfkjWzTVD5LIvRB+ K87a51nEGOeXBHg8zTGYuZfd0vVh+p9G2p1wNtV9pzfHmzVOBGVVl0pGfB+J4DBP XYUWXYOTswCKRr0jI/xc9Xj9OFqfTJ57mRRb7tcsQyqtwdD90G+9cnftgJsh7XKW cBrGYGrFO7FofO0c/wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCJdY+JyIV0ZS0QtaD4qvBUl9zI 1Sgt0D1AABnFLoPWJeZsuFnlTf20AS8nfsf0KTPnLFPRx6VKE4DcW66d+Y6gjvnn HfaKU9m+N4KWFV3kyuI3QIaNRDTbcwebA6/93lS9mpNBrOJOhkesYmOJgH80tzOP iYvj9fsEUzVtHNewMwIDAQAB
-----END PUBLIC KEY-----


Выполняет деструктивные команды:
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
bars.exe
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://constructioninc.zzz.com.ua/bars.exe***
Email: ms.heisenberg@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 Video Review
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 30 августа 2017 г.

OhNo!

OhNo! Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в крипто-валюте Monero (XMR), чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .OhNo!

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно, выступающее как экран блокировки с текстом о выкупе.

Содержание текста о выкупе:
OhNo!
You have been, infected with OhNo! ALL your Documents, Downloads, and Desktop have been Encrypted with a Unique Key to your System. Each Key is a TOTALLY Random Key specific to that Machine. Please Pay 2. XMR to the specified address below and you will receive a Email with your Key. Monero (XMR) is a cryptocurrency based on 100% annoymous transactions. You can find how to purchase Monero by using Google. If you can't figure out how to Buy XMR, you probably shouldn't have a PC.
- Goodluck
XMR ADDRESS: 44edA37JgbcWGxKMB***

Перевод текста на русский язык:
О нет!
Вы были инфицированы OhNo! ВСЕ ваши Документы, Загрузки и Рабочий стол были зашифрованы с уникальным к вашей системе ключом. Каждый Ключ представляет собой ПОЛНЫЙ случайный ключ, специфичный для этой машины. Пожалуйста, оплатите 2 XMR по указанному ниже адресу, и вы получите на email ваш ключ. Monero (XMR) - это криптовалюта, основанная на 100% анонимных транзакциях. Вы можете найти, как купить Monero с помощью Google. Если вы не можете понять, как купить XMR, вы, вероятно, не должны иметь ПК.
- Удачи
XMR ADDRESS: 44edA37JgbcWGxKMB***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрует файлы, находящиеся в пользовательских папках "Документы", "Загрузки" и на Рабочем столе.

Список файловых расширений, подвергающихся шифрованию:
.7z, .bmp, .csv, .dll, .doc, .docx, .exe, .gif, .gz, .jpeg, .jpg, .lnk, .midi, .mp3, .pdf, .png, .ppt, .pptx, .txt, .wav, .wpd, .xlsm, .xlsx, .zip (24 расширения).
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Google Chrome.exe
3577.bat

start.exe
wallpaper.jpg
$pcname.key

Расположения:
%TEMP%\3576.tmp\3577.bat C:\9c367c66d64790286fbd36074cc7af4af05df22a5b3d83f827f5d3138a8f1836.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
XMR: 44edA37JgbcWGxKMBCj94JZu7LQ95rASfRaUe8KMida5ZiQwHxsBv2EjXqrT3anyZ22j7DEE74GkbVcQFyH2nNiC3df9K3y
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as OhNo!)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KeyMaker

KeyMaker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: KeyMaker. На файле написано: KeyMaker.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> KeyMaker

К зашифрованным файлам добавляется расширение .CryptedOpps

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Opps all your files have been encrypted with crytp0lock
You can unlock your files by paying 200 dollars in bitcoin
Send payment too bitcoin address 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE you can also contact us at Wecanhelp@protonmail.com for other payments or questions.
You have 2 days to PAY before timer starts deletion of files.

Перевод записки на русский язык:
Упс, все ваши файлы были зашифрованы с помощью crytp0lock
Вы можете разблокировать свои файлы, заплатив 200 долларов в биткоинах
Отправить платеж на биткоин-адрес 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE вы также можете связаться с нами по адресу Wecanhelp@protonmail.com для других платежей или вопросов.
У вас есть 2 дня, чтобы заплатить, прежде чем таймер начнет удаление файлов.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
KeyMaker.exe

Расположения:
\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxx://lawoffices.000webhostapp.com/Great/key.php***
Email: wecanhelp@protonmail.com
BTC: 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

USBR

USBR Ransomware
HiddenTear Offline Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: USBR.exe
файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> USBR (HiddenTear Offline)

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.

Содержание записки о выкупе:
Files has been encrypted
Send me some of your salary in bitcoins or you will lose your file
Cheers, is not end of the world

Перевод записки на русский язык:
Файлы были зашифрованы
Пошлите мне часть зарплаты в биткоинах или потеряете свой файл
Радуйтесь, это не конец света



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
USBR.exe
hidden-tear-offline.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haze

Haze Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные жёсткий диск, а затем требует выкуп в 25€ PaysaveCard, чтобы вернуть файлы. Оригинальное название: Haze Virus и HazeRansomeware. На файле написано: HazeRansomeware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Визуально имитирует работу крипто-вымогателя Petya: мигают красный и желтый экраны, потом на красном фоне выводится сообщение о выкупе. 

Запиской с требованием выкупа выступает текст на экране. 

Содержание текста о выкупе:
Welcome to haze Virus
The harddisks of your computer have been locked with a military grade encryption algorthm. There is no way to restore your data without a special key. You can get this key for 25€ if you folow the steps below.
1.Enter your E-Mail address below.
2.Enter a 25€ Paysavecard code below.
3.Click on ok, after a few time you will get a E-Mail from us with the Key.
Enter your E-Mail address: [   ]
Enter 25€ Paysavecard code: [   ]
Enter your Key: [   ]

Перевод текста на русский язык:
Приветствие от туманного вируса
Жесткие диски вашего компьютера были заблокированы с алгоритмом шифрования военного класса. Невозможно вернуть данные без специального ключа. Вы можете получить этот ключ за 25 €, если выполните следующие шаги.
1. Введите email-адрес ниже.
2. Введите 25€ код Paysavecard ниже.
3. Нажмите ОК, через некоторое время получите от нас email с ключом.
Введите ваш email-адрес: [ ]
Введите 25€ код Paysavecard: []
Введите ваш ключ: []


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
На данный момент ничего не шифрует. 
Это могли бы быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HazeRansomeware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 августа 2017 г.

MindSystem

MindSystem Ransomware 

MindSystem 2017 Ransomware 

MindSystemNotRansomWare Eduware

(шифровальщик-вымогатель, шифровальщик-обучатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем называет себя "только для образования". Вернуть файлы можно с помощью оригинального декриптера. Оригинальное название варьируется. На картинке написано: MindSystem Ransomware и MindSystem 2017. На файле написано: MindSystemNotRansomWare.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .mind

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, загружаемое с сайта noelshack.com и встающее обоями рабочего стола.

Содержание текста с картинки:
[Your files has been encrypted by MindSystem Ransomware]
To Recover them, just use the decryptor with your unique key
For education only! MindSystem 2017

Перевод текста на русский язык:
[Ваши файлы были зашифрованы MindSystem Ransomware]
Для их восстановления используйте дешифратор с уникальным ключом
Только для образования! MindSystem 2017


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MindSystemNotRansomWare.exe
file.jpg
key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://image.noelshack.com/fichiers/2017/31/2/1501621309-ransomware.png
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 27 августа 2017 г.

Ransom Prank

Ransom Prank Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransom Prank. На файле написано: Ransom Prank.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your Computer is Locked !
Your importing files are encrypted !
Many of your documents, photos, viedos, databases an other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waster your time. Nobody can recover your files without our decrytionservice
Can I Recover My Files?
Sure. We garantee that you can recover all your flies safely and easily. But you have not so much time.
You have only 3 days to submit the payment. After that the price will be doubled.
Also if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 month.
How Do I Pay?
Payment is accepted in Bitcoin only. Go online for more information.
Please check the current price of Bitcoin an buy some bitcoins.
And send the correct amount to the address specified in this window.
Once the payment is checked, you can start decrypting your files by getting the DecrytionCode.
Send 0.5 Bitcoin to ...

Перевод записки на русский язык:
Ваш компьютер блокирован!
Ваши важные файлы зашифрованы!
Многие из ваших документов, фото, видео, базы данных и другие файлы теперь не доступны, т.к. они были зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не теряйте время. Никто не может восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все свои файлы безопасно и легко. Но у вас мало времени.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Также, если вы не платите за 7 дней, вы уже никогда не сможете восстановить ваши файлы.
У нас будут бесплатные мероприятия для пользователей, которые так бедны, что они не могли заплатить через 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Заходите в интернет для получения дополнительной информации.
Пожалуйста, проверьте текущую цену биткоина на покупку некоторых биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
Как только платеж будет проверен, вы можете начать дешифрование своих файлов, получив код дешифровки.
Отправить 0.5 биткоин ...


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На данный момент файлы не шифруются.

Код разблокировки: 12345

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 
После реализации функции шифрования это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransom Prank.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 26 августа 2017 г.

BTCWare-Nuclear

BTCWare-Nuclear Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно.
BTCWare-Nuclear Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Nuclear 

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].nuclear

В августе это были:
.[black.world@tuta.io].nuclear
.[asdqwer123@cock.li].nuclear

Активность этого крипто-вымогателя пришлась на первую август-сентябрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

ВАЖНО!!! Разработчики этого варианта испортили шифрование файлов размером более 10 Мб и не смогут их расшифровать. Такое же поведение наблюдалось и в других файлах случайных размеров. Поэтому уплата выкупа не рекомендуется в любом случае, т.к. скорее всего многие ваши файлы не будут расшифрованы.

Записка с требованием выкупа называется: HELP.hta
 
Примеры записки о выкупе BTCWare-Nuclear Ransomware

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail black.world@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
• Do not rename encrypted files. 
• Do not try to decrypt your data using third party software, it may cause permanent data loss. 
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email black.world@tuta.io
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

BTCWare-Nuclear шифрует файлы только до 0xA00000 байт. Более 10 Мб файлы вообще необратимо повреждаются. Уплата выкупа бесполезна. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
payload.exe
_ReadMe_.txt

Расположения:
%APPDATA%\HELP.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Связанный открытый ключ Nuclear RSA-1024:
Открыть:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMwl0XpgillW5xCvuTbug+U+bVtZTaS0SRM+gNgaegG9PwsUXsxaqOLBg1zBxUxPcsJvUcQ/SKYWNsA49SIaMtSG2/b5rby2cnS8J4wwqkF0hDUFurF+t1o1TO6NDomgVMyak6nteJuR9ZAPUAmT3s4HqbhbL9Mh6h08iEl7jCbQIDAQAB
-----END PUBLIC KEY-----

Сетевые подключения и связи:
URL: ocsp.comodoca4.com
maps.googleapis.com
localbitcoins.com
stats.g.doubleclick.net
ocsp.pki.goog
cdn.mxpnl.com
js-agent.newrelic.com
maps.gstatic.com
bam.nr-data.net
api.mixpanel.com
csi.gstatic.com

Email: black.world@tuta.io
asdqwer123@cock.li
assistance@firemail.cc и 2ndsupport@protonmail.com
decr@cock.li
kod.zapuska@tuta.io
cryptozlo@cock.li
varginfo@tuta.io
goldwave@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Обновление от 3 сентября 2017:
Составное расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc и 2ndsupport@protonmail.com
Файл: Underkeeper2.exe
Результаты анализов: HA + VTVT

Обновление от 25 сентября 2017: 
Новое составное расширение: .[goldwave@india.com]-id-<id>.nuclear" 
Email: goldwave@india.com

Обновление от 27 сентября 2017:
Новое составное расширение: .[varginfo@tuta.io].nuclear
Email: varginfo@tuta.io
Результаты анализов: VT


Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter для дешифровки >>
Поддерживаются расширения: 
.btcware, .cryptobyte, .cryptowin, .theva, .onyon, 
.blocking, .master, .aleta, .gryphon, .nuclear, .wyvern
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Gryphon)
 Write-up, Topic of Support
🎥 Video review 
 Thanks: 
 Michael Gillespie, JakubKroustek
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *