Если вы не видите здесь изображений, то используйте VPN.

четверг, 21 января 2016 г.

KeyBTC-2016

KeyBTC-2016 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024 (из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: KeyBTC-2014 > KeyBTC-2016

К зашифрованным файлам никакое расширение не добавляется. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2016 г. и продолжилась примерно до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:
ATTENTION:
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.5 BTC (bitcoins). To do this:
1. Create Bitcoin wallet here:
 https://blockchain.info/wallet/new
2. Buy 0.5 BTC with cash, using search here:
 https://localbitcoins.com/buy_bitcoins
3. Send 0.5 BTC to this Bitcoin address:
 oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Send any e-mail to:
 keybtc@inbox.com
After that you will recieve e-mail with detailed instructions how to restore your files.
Remember: nobody can help you except us. It is useless to reinstall Windows, rename files, etc.
Your files will be decrypted as quick as you make payment.

Перевод записки на русский язык:
ВНИМАНИЕ:
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы с использованием надежного алгоритма RSA-1024 с уникальным ключом.
Для восстановления ваших файлов вы должны заплатить 0.5 BTC (биткоины). Для этого:
1. Создайте биткоин-кошелек здесь:
  https://blockchain.info/wallet/new
2. Купите 0.5 BTC наличными, воспользовавшись поиском здесь:
  https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.5 BTC на этот биткойн-адрес:
  oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Отправьте любое email по адресу:
  keybtc@inbox.com
После этого вы получите email с подробными инструкциями по восстановлению ваших файлов.
Помните: никто не может помочь вам, кроме нас. Бесполезно переустанавливать Windows, переименовывать файлы и т.д.
Ваши файлы будут расшифрованы так же быстро, как вы сделаете платёж.



Технические детали

Для атаки используется возможности JavaScript и системное приложение WScript.exe. Может распространяться с помощью email-спама и вредоносных JS-вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ KeyBTC шифрует только первые 2048 байтов файла.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений без повторов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла
fax_0000329455.doc.js - пример вредоносного вложения
scan_0000125475.doc.js - пример вредоносного вложения
224017_crypt.exe - вредоносный файл, созданный WScript.exe
224017_readme.txt - файл, созданный WScript.exe, с текстом, как в записке
224017_tree.cmd - файл, созданный WScript.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://pondybuilders.com/wp-admin/files/
xxxx://pondybuilders.com/wp-admin/htm/login.html
xxxx://iumlkottakuppam.com/css.php
xxxx://corestaffingsolutions.com/counter/?http://realmadlocal.com/our-designs/
Email: keybtc@inbox.com
BTC: oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать KeyBTCDecrypter для дешифровки файлов >>
*
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as KeyBTC)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer, Fabian Wosar
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 20 января 2016 г.

KEYHolder

KEYHolder Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR (режим CFB, Cipher Feedback), хотя жертву нарочно пугают алгоритмом RSA-2048, затем требует выкуп в 1,5 биткоина или ~$500 (позже цена была снижена), чтобы вернуть файлы обратно. Новое творение создателей CryptorBit. Время распространения, судя по форумам оказания помощи, довольно продолжительно — с конца 2014 до начала 2016 гг. Вполне ещё может вернуться в новом обличье.

  Отдельный метод распространения неизвестен. Видимо устанавливается путём заражения вручную, методом взлома удаленного рабочего стола или служб терминалов. Название KEYHolder переводится как "брелок с ключами", который и изображен на картинке ниже. 

  После запуска KEYHolder будет сканировать все буквы дисков и шифровать любые файлы данных, которые на нем находятся. По окончании шифрования удаляются все теневые копий файлов, чтобы из нельзя было восстановить файлы с помощью функции восстановления системы или с помощью специальных программ типа Shadow Explorer. 

  В каждой папке с зашифрованными файлами сохраняются файлы HOW_DECRYPT.gif и HOW_DECRYPT.html, которые содержат информацию о том, как получить доступ к сайту для уплаты выкупа.
Текст с картинки с ключами:
KEYHolder
YOUR PERSONAL FILES ARE ENCRYPTED
All files including videos, photos and documents on your computer are encrypted.
File Decryption costs ~$500
In order to decrypt the files, you need to perform the following steps:
1. Your should download and install this browser http://www.torproject.org/torbrowser.html.en
2. After installation, run the browser and enter the address: mwyigd4n52mkbyhe.onion
3. Follow the instructions on the web-site.
We remind that you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.

Перевод на русский язык:
KEYHolder
Ваши личные файлы зашифрованы
Все файлы, включая видео, фото и документы на вашем ПК зашифрованы.
Файл дешифровки стоит ~$500
Для дешифровки файлов, вам надо сделать следующие шаги:
1. Загрузите и установите этот браузер http://www.torproject.org/torbrowser.html.en 
2. После установки запустите браузер и введите адрес: mwyigd4n52mkbyhe.onion
3. Следуйте инструкциям на веб-сайте.
Напоминаем, что чем раньше вы это сделаете, тем больше шансов вернуть файлы.
Гарантирован возврат файлов в течение 10 дней.

Степень распространённости: высокая
Подробные сведения собираются.

понедельник, 18 января 2016 г.

RackCrypt, MVP Locker

RackCrypt Ransomware

MVP Locker Ransomware 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.3 BTC, чтобы вернуть файлы. Оригинальное название: MVP Locker. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .rack

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: rackinfo.txt


Содержание записки rackinfo.txt:
Your PC was infected with MVP Locker which encrypts all your personal files: music, video, images and so on. Now to get everything back you have to pay. You can clean your PC from this program, however in case you want to get all your data back we do not recommend do that since we will verify the existence of files, and if you tried to eliminate this program you have no chances to get encrypted data back even in case you did a payment.
The payment proceed in bitcoin currency, We won't provide you with the informatation how you can create your own wallet and put money on it, everything you can find using internet. There is enough info about it.
// ==========================
There is information that you might need:
bitcoin wallet number (you should make your paymenton on this address): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
e-mail support address (use this in case you have problems you can't solve): mvplocksvc@yahoo.com

Перевод записки на русский язык:
Ваш ПК был заражен MVP Locker, который шифрует все ваши личные файлы: музыку, видео, изображения и т.д. Теперь, чтобы получить все обратно, вы должны заплатить. Вы можете очистить свой компьютер от этой программы, однако, если вы хотите вернуть все свои данные, мы не рекомендуем это делать, так как мы проверим наличие файлов, и если вы попытаетесь устранить эту программу, у вас не будет шансов вернуть зашифрованные данные даже в случае, если вы заплатили.
Оплата производится в биткоин-валюте. Мы не предоставим вам информацию о том, как вы можете создать свой собственный кошелек и положить на него деньги, все, что вы можете найти с помощью Интернета. Об этом достаточно информации.
// ==============================
Есть информация, которая вам понадобится:
биткойн-кошелек (вы должны заплатить на этот адрес): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
email-адрес поддержки (используйте это, если у вас проблемы, которые не можете решить): mvplocksvc@yahoo.com


Запиской с требованием выкупа выступает экран блокировки с кнопками.

При нажатии на кнопку "files" открывается файл rackfiles.txt со списком зашифрованных файлов. 

При нажатии на кнопку "info" открывается записка о выкупе rackinfo.txt.

При нажатии на кнопку "copy" адрес биткоин-кошелька, указанный в сообщении, помещается в буфер обмена.

При нажатии на кнопку "decrypt" открывается следующее сообщение.

По данным Microsoft ещё должно быть изображение rack.jpg, встающее обоями Рабочего стола. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .ank, .apk, .arch00, .arw, .asset, .avi , .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db0, .dba, .dbf , .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .et, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hpp, .hvpl, .ib, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wall, .wb2  .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (197 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rackinfo.txt - запсик ао выкупе
rackfiles.txt - содержит список зашифрованных файлов
rack.jpg - изображение, заменяющее обои
firefox.exe
loader.exe
smss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\<exe_ransom>.exe
%TEMP%\rackfiles.txt
%TEMP%\rackinfo.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mvplocksvc@yahoo.com
BTC: 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RackCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 17 января 2016 г.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u
Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard


Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:
ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe


Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***


Степень распространённости: средняя. 
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up (n/a), Topic of Support, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 10 января 2016 г.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. 

Активность этого крипто-вымогателя пришлась на деабрь 2015 - январь-март 2016 г. Ориентирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> ExecutionerCryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 >
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .crjoker

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html и другие.

Последний файл фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.


В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet



Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].




Экран блокировки



При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.


Файлы, связанные с CryptoJoker Ransomware: 
\Desktop\DECRYPT FILES.txt
\Desktop\GET MY FILES.txt
\Desktop\READ NOW.txt
\Desktop\read this file.txt
\Desktop\READ.txt
\Desktop\README!!!.txt
\Desktop\readme.txt
%Temp%\crjoker.html

%Temp%\drvpci.exe

%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>
Symantec: Ransom.CryptoJoker >>

Степень распространённости: средняя.
Подробные сведения собираются.




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 7 января 2016 г.

LowLevel04

LowLevel04 Ransomware

OOR Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. 

  К зашифрованным файлам добавляется не расширение, а приставка oor., которая присоединяется к началу файла. Ранняя активность этого крипто-вымогателя пришлась на октябрь 2015 г. Тогда LowLevel04 был замечен в атаках только на греческих и болгарских пользователей. Позже атаки повторились. 

Записка с требованием выкупа называется: help recover files.txt

Содержание записки о выкупе:
Good day, isn’t it?
What happened to your files?
All your files were protected by a strong encryption with RSA-2048
More information about the encryption keys using rsa-2048 can be found heres
https://en.wikipedia.org/RSA
What does this mean?
This mean that the structure and data within your files have been irrevocably change and only we can help you to restore it.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private
All your files were encrypted with the public key, which has been transferred to your computer via internet.
Decrypting of your files is only possible with the help of the private key and decrypt program which is on our server
You can buy our tool with private key that will recover all your files, it cost's 4 bitcoins and you need send it to bitcoin address 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf . 1 bitcoin ~= 240 US $.
You can make bitcoin payment without any bitcoin software. For this you can use one of this bitcoin exchanger from this exchange list to send us bitcoins
https://crypto.bg
bitcoini.com
https://bitpay. com
www.plus500.bg/Trade-Bitcoins
bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Our contact mail entry122717@gmail.com . Additional contact mail entry123488@india.com (email us here if we don’t answer from gmail.com).
Your own personal key: *****. Send us your own personal key after payment and we will send you decryption tool.
You can send one small file (not bigger than 1 megobyte) before payment and we will recover it. It will be proof that we have decryption tool.

Перевод записки на русский язык:
Хороший день, не так ли?
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048
Более подробную информацию о ключах шифрования RSA-2048 можно найти здесь:
https://ru.wikipedia.org/RSA
Что это значит?
Это значит, что структура и данные в ваших файлах были безвозвратно изменены, и только мы можем помочь вам восстановить их.
Как это произошло?
Специально для вас на нашем сервере была сгенерирована секретная пара ключей RSA-2048 - открытый и закрытый
Все ваши файлы были зашифрованы открытым ключом, который был передан на ваш компьютер через Интернет.
Расшифровать ваши файлы можно только с помощью закрытого ключа и программы дешифрования, которые есть на нашем сервере.
Вы можете купить наш инструмент с закрытым ключом, который восстановит все ваши файлы, он стоит 4 биткойнов, и вам нужно отправить его на биткойн-адрес 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf. 1 биткойн ~= 240 долларов США.
Вы можете сделать биткойн-платеж без софта биткойнов. Для этого вы можете использовать один из этих биткойнов-обменников из этого списка, чтобы отправить нам биткойны:
https://crypto.bg
Bitcoini.com
https://bitpay. Ком
Www.plus500.bg/Trade-Bitcoins
Bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Наш контактный email entry122717@gmail.com. Дополнительный entry123488@india.com (напишите на него, если мы не ответим на gmail.com).
Ваш личный ключ: *****. Отправьте нам свой личный ключ после оплаты, и мы вышлем вам инструмент для расшифровки.
Перед отправкой вы можете отправить один небольшой файл (не более 1 Мб), и мы его восстановим. Это будет доказательством того, что у нас есть инструмент дешифрования.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, а также проводит брутфорс-атаку по Remote Desktop. 

Когда файл уже зашифрован, то он содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот они: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции. Эти слои данных в зашифрованном файле представлены также в таблице ниже.

В каждой папке с зашифрованными файлами, LowLevel04 оставляет записку о выкупе с инструкцией об уплате выкупа и получения программы для дешифровки (декриптера). 

После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований.

Как оказалось, LowLevel04 не удаляет теневые копии файлов. Поэтому пострадавшим можно использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить файлы из теневых копий файлов. Информацию о том, как восстановить файлы из теневых копий можно найти в руководстве по CryptoLocker.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .arw, .automaticDestinations-ms, .backup, .bad, .bay, .bck, .bcp, .bkp, .bkup, .bmp, .cdr, .cer, .com, .cr2, .crt, .crw, .dat, .database, .dbf, .dcr, .der, .desklink, .dll, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .ico, .ie5, .ie6, .ie7, .ie8, .ie9, .indd, .inf, .ini, .jpe, .jpeg, .jpg, .kdc, .lnk, .lpa, .mapimail, .mdb, .mdf, .mef, .mid, .mp3, .mp4, .mrw, .msi, .nef, .nrw, .odb, .odc, .odm, .ods, .odt, .opd, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .scr, .search-ms, .sql, .sr2, .srf, .srw, .sys, .wav, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (109 расширений). 

Сетевые подключения и связи: 
E-mail вымогателей: 
entry122717@gmail.com
entry123488@india.com
BTC: 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf

Файлы, связанные с этим Ransomware:
help recover files.txt
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *