Если вы не видите здесь изображений, то используйте VPN.

вторник, 6 сентября 2016 г.

N1N1N1

N1N1N1 Ransomware 

JPA Ransomware

(шифровальщик-вымогатель) 

Translation into English


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует пройти по ссылке в Tor-браузере за инструкциями. В итоге выкуп будет в 1,5 биткоина или более, или менее.  
  
© Генеалогия: семейство N1N1N1

  К зашифрованным файлам в код добавляется n1n1n1Название от него. 

Оригинальное расширение зашифрованных файлов не меняется, только после имени добавляется 8-9 случайных символов по шаблону: <original_file_name><8-9_random_characters>.<original_file_extension>

Записки с требованием выкупа называются: how return files.txt и how return files.html. Они размещаются в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
If you don't speak english then use public online translators https://translate.google.com or https://www.bing.com/Translator or https://www.translate.com

Your files encrypted.
To decrypt and return control to all your encrypted files you need:
1) Go to https://www.torproject.org/download/download-easy.html.en . Download Tor browser for windows.
     If you can't open this page then go to https://www.torproject.org and click on button Download.
     It will redirect you to page where you can find "Tor Browser for Windows".  Download it.
     If you still can't download or run tor browser then download, unpack and run the most stable tor browser version here:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Install it and run it.
3) Type in the address bar www.hs5br44fuvaazn72.onion/start.php and open our secret website.
4) Secret website will ask you to input your public key.
5) Enter your public key and follow the instructions.

Your public key: ***

If you have any problems while downloading or installing tor browser or opening secret tor site then if you have antivirus then remove or disable it (antivirus can prohibit open tor browser) or try use other computer.
Don't forget that you can browse www.youtube.com and search videos with tor browser installation process.
If you still can't open this secret page then
1) Go to https://mail.google.com (use your usual browser: (firefox, google chrome, ...)
2) If you don't have ...@gmail account then sign up. You will get google (gmail) account.
3) Compose letter and send it to strongonion@sigaint.org
   In letter you need type us your public key (see public key above).
4) Soon (in 1 or 2 days), we will send you instructions what you need to do to decrypt your files.

Small remark:
You can compose and send letter using other mail provider (...@aol.com ...@yahoo.com or other)
but we DON'T RECOMMEND you to do it because we are not sure that we will receive your letter!

Перевод записки на русский язык:
Если ты не говоришь по-английски, то используй онлайн-переводчики https://translate.google.com или https://www.bing.com/Translator или https://www.translate.com

Твои файлы зашифрованы.
Для дешифровки и возврата доступа ко всем твоим зашифрованным файлам нужно:
1) Перейти на https://www.torproject.org/download/download-easy.html.en. Скачать Tor-браузер для windows.
     Если не удаётся открыть этот сайт, то идти на https://www.torproject.org и нажми кнопку Download.
     Это перенаправит на страницу, где можно найти "Tor Browser for Windows". Загрузить.
     Если ещё не загрузить или не запустить Tor-браузер, то загрузи, распакуй и запусти самую стабильную версию:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Установи и запусти его.
3) Введи в адресной строке www.hs5br44fuvaazn72.onion/start.php и открой наш секретный сайт.
4) Секретный сайт попросит ввести твой открытый ключ.
5) Введи свой открытый ключ и следуй инструкциям.

Открытый ключ: ***

Если у тебя проблемы с загрузкой или установкой Tor-браузера или открытием секретного Tor-сайта, тогда может у тебя есть антивирус, то удали или отключи его (антивирус может мешать Tor-браузеру) или поюзай другой комп.
Не забывай, что можешь на www.youtube.com поискать видео с процессом установки Tor-браузера.
Если ты все еще не можешь открыть эту секретную страницу, то
1) Перейди к https://mail.google.com (используй обычный браузер (firefox, google chrome, ...)
2) Если у тебя нет ...@gmail.com почты, то зарегистрируй и получите google (gmail) аккаунт.
3) Напиши письмо и отправь на strongonion@sigaint.org
   В письме нужно написать нам свой открытый ключ (см. открытый ключ выше).
4) Скоро (за 1 или 2 дня), мы вышлем тебе инструкции, что нужно сделать для дешифровки файлов.

Небольшая ремарка:
Можешь написать и отправить письмо через иного провайдера почты (...@aol.com ...@ yahoo.com или иной), но мы НЕ РЕКОМЕНДУЕМ это делать, т.к. не будем уверены в получении твоего письма!

Распространяется с помощью email-спама и вредоносных вложений (*.PDF.exe, *.ZIP.exe), посредством атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .html, .pdf, .php и другие. 

Файлы, связанные с этим Ransomware:
how return files.txt

how return files.html
<random>.exe

Сетевые подключения и связи:
URL: www.hs5br44fuvaazn72.onion
www.uc7k2wj6526xlivj.onion
---
Email: strongonion@sigaint.org
yellowfix@sigaint.org
---
BTC: 16R8JYuK4D5jsgmDKicFBAVYfDwhcK3hvs
185VukzLfaux8Qce4tF9ucWiXzyx32ad7J

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

В разные годы наблюдались отличия, см. обновления. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление на конец сентября 2016:
Записки: decipher.txt и decipher.html
Текст немного изменился: адреса и прочее.
<< Скриншот
Email: yellowfix@sigaint.org
Адрес: uc7k2wj6S26xlivj.onion



Обновление ноябрь-декабрь 2016: 
Записки: decipher.txt и decipher.html
Пример зашифрованного файла: filename[A-a,0-9]{13}.pdf
Email: smuso@sigaint.org
Адрес: ***lodkfpsyhi6btroa.onion/decipher.php


Обновление от 15 февраля 2017:
Пост в Твиттере >>
Новый маркер файлов: 333333






Обновление от 21 августа 2018:
Пост в Твиттере >>
К зашифрованным файлам перед оригинальным именем добавляется префикс jpa.
Пример зашифрованного файла: jpa.Document.doc
К записке о выкупе тоже добавляется добавляется префикс jpa., но перед оригинальным расширением. 
Записка оригинальная: why files renamed.txt
Записка с префиксом: why files renamed jpa..txt
Сама записка не шифруется. 
Email: z44@ruggedinbox.com
BTC: 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J
Как оказалось, этот способ неновый. Майкл обнаружил точно такой же прием у раннего образца этого семейства от 12 июля 2016 года.

➤ Содержание записки: 
Sorry, but your files have been encrypted by strong military ciphers RSA and AES and now file begin on jpa.
 .
Your own personal key: [redacted 15 lowercase alphanum]
To get decryptor, which will recover all your files, you should transfer 4 bitcoins 
on bitcoin address 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J (1 bitcoin = 220 $). 
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt this file. And send us your personal key with attached file.
After payment send us your personal key on our mail z44@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Don't use main accounts on hotmail.com or outlook.com because it may block letters.
If we don't answer then please register your own mail account on www.ruggedinbox.com and send us your message again.
For sending bitcoins you can use one of this exchangers from this list - 
https://www.ice3x.com
https://bitx.co/za
www.bitcoinzar.co.za
https://localbitcoins.com
(or other bitcoin exchangers that you can search in www.google.com)




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

KawaiiLocker

KawaiiLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме OFB), а затем требует выкуп в 6000 рублей, чтобы расшифровать файлы. 

Шифруются только первые 192 байта от начала. Хранит список зашифрованных файлов в файле crypt_list. 

К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, называют его сами то KawaiiLocker, то CryptoLocker.

Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними не выяснялась. 

Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе. 


Содержание записки о выкупе:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством удалённой атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение). 

Продается на форумах за $150 или 10000 рублей. Например, по ссылке
Заявлено 83 расширения. 

KawaiiLocker определяет работу VirtualMachine и SandBox. 

Удаляет тома теневых копий файлов командой:
vssadmin delete shadows /for=C:\/all 

Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов. 

Сетевые подключения:
Email: decrypt2016@yahoo.com
URL: hxxx://7476357288-0.myjino.ru/
URL: hxxx://81.177.139.161/

Анализ на Payload Security >>
Файл-образец на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.



Read to links:
Тема на форуме KasperskyClub.ru >>
Ранее Kawaii Decryptor размещался на форуме Safezone.cc
Внимание! 
Для зашифрованных файлов есть дешифровщик. 
Скачать Kawaii Decryptor от Thyrex >> 
Некоторые антивирусы могут обнаруживать файл KawaiiDec.exe как угрозу.
Это ложное страбатывание, обычная реакция на файл без цифровой подписи.
Kawaii Decryptor — бесплатная утилита для бесплатной расшифровки файлов. 
Если купить сертификат и подписать цифровой подписью, то утилита будет платной. 
Thanks:
Thyrex
Demonslay335, Lawrence Abrams 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 5 сентября 2016 г.

RansomCuck

RansomCuck Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название дано самими вымогателями. К зашифрованным файлам добавляются расширения .ransomcuck или .cuck

Записки с требованием выкупа называются: How_to_Recover_ Files.html и How_to_Recover_ Files.txt 

Содержание записки о выкупе:
All files including videos, photos and documents on your computer have been encrypted by this software.
Encryption was produced using a unique key specific to your computer. The only way to obtain your files back is to decrypt them using the unique
key specific to your computer. 
Your unique key is stored on a TOR server which will automatically destroy itself after 2 weeks. 
After that, no one will be able to restore your files. 
If this program is altered in any way without ransom being payed, your files will be lost forever.
A file has been created on the desktop with the exact same instructions. 
Your files will be automatically decrypted once the payment is received. 
This program automatically communicates with the server and will decrypt your files once the payment has been received. 

Payment Details:
Amount ($):
Send to bitcoin address:
Due Date:

Bitcoin information: 
Bitcoins are a cryptocurrency. First of all, you need a wallet to store the bitcoins with you purchase. Ordering 1% more bitcoins that the amount you are due is recommended due to wallet transfer rates. 
Now you need to find a place to purchase bitcoins. Simply google search ‘buy bitcoins’ and purchase from the websites which appear in your google search. Make sure you place the bitcoins into your wallet before sending it to the instructed address. 

Once you have the bitcoins, send them to the address specified above, and your files will be decrypted and the negative effects of this program will disappear.

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на твоем компьютере зашифрованы с этой программой.
Шифрование произведено с уникальным ключом для твоего компьютера. Один способ вернуть файлы, это расшифровать их с помощью уникального ключа для твоего компьютера.
Твой уникальный ключ лежит на TOR-сервере и автоматически уничтожится через 2 недели.
После уже никто не восстановит твои файлы.
Если эта программа будет как-то изменена и не оплачена, ваши файлы будут утеряны.
Файл был создан на рабочем столе с точно такой же инструкцией.
Твои файлы автоматически дешифруются после получения платы.
Эта программа автоматически связывается с сервером и дешифрует файлы после получения платежа.

Детали оплаты:
Сумма ($):
Bitcoin-адрес:
Срок:

Bitcoin-информация: 
Bitcoin — криптовалюта. Для начала нужно завести бумажник, чтобы хранить биткоины с покупки. Заказать на 1% больше биткоинов, чем сумма, которую вы должны перевести на кошелек.
Далее нужно найти место, где купить биткоины. Поищи в Google "купить биткоины" и купи с веб-сайтов, найденных в поиске Google. Убедись, что биткоины пришли в кошелек перед переводом на адрес в инструкции.

После прихода биткоинов отправь их на указанный выше адрес, твои файлы будут дешифрованы и негативные последствия этой программы исчезнут.

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Ransomware:
How_to_Recover_ Files.html
How_to_Recover_ Files.txt 

Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 3 сентября 2016 г.

CainXPii

CainXPii Ransomware 

(фейк-шифровальщик) 


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 20 Евро с PaySafeCard, чтобы вернуть файлы обратно. Разработчик: Louis. Среда разработки: Visual Studio 2015.

© Генеалогия: Hitler > CainXPii

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера со своим окружением, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 20-евровой карты PaySafeCard и нажать кнопку "Unlock PC" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и что-то напортачил в коде, что отразилось ошибкой с .NET Framework. Оригинальные названия: CainXPii Ransomware, Hitler Ransomware и Ransomware. Видимо разработчик не определился с названием. 

UAC не обходит, требуется разрешение на запуск. Шифрование также не производится. По замыслу разработчика к зашифрованным файлам должно было добавляться составное расширение, у которого на конце было бы расширение .CainXPii

Если вымогатель сработает как задумано, то файлы на рабочем столе должны принять вид по шаблону: Hitler Ransomware_%num%.CainXPii

Образец этого криптовымогателя найден в конце сентября 2016 г. Ориентирован на англоязычных пользователей. 

Содержание текста о выкупе:
This IS Hilter RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
***

Перевод на русский язык:
Это Hilter RANSOMWARE
Внимание: Ваши файлы зашифрованы!!!!
чтобы вернуть ваш ПК, вы должны заплатить 20 € с PaySafeCard
Пожалуйста, введите код с карты в поле ниже: 
***

Распространяется с сайта, указанного в гибридном анализе. 

Email вымогателя, найденные в коде: 
vonyhd@gmail.com
Vazetv@gmail.com

Список файловых расширений, подвергающихся фейк-шифрованию:
Должны были шифроваться документы MS Office, PDF, фотографии, музыка, видео и пр.

Нарушаются ассоциации исполняемых файлов, которые приходится восстанавливать при помощи соответствующих фиксов. 

Файлы, связанные с этим Ransomware:
x.exe 
x.ini
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Video review
 Thanks: 
 MalwareHunterTeam
 GruyaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 2 сентября 2016 г.

Flyper

Flyper Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .flyper

Название происходит от расширения, добавляемого к файлам или от логина в email вымогателей. 

С новой версией от 8 сентября появилось новое расширение .locked, т.е. как в базовом проекте HiddenTear. 

© Генеалогия: Hidden Tear >> Flyper

Записка с требованием выкупа называется instruction.txt и добавляется в каждую папку с зашифрованными файлами. 
Есть также html-файл instruction.html с аналогичным содержанием. 

Кроме записок о выкупе имеется ещё скринлок, встающий обоями рабочего стола, на котором имеется надпись YOU HAVE BEEN HACKED !

Содержание записки о выкупе:
Your personal files have been encrypted with strongest encryption RSA 2048 and unique key generated for this computer.
We present a decrypter software which allows to decrypt and return control to all your encrypted files.
We accept a payment with Bitcoin, there are many methods to get them.
On these sites you can buy Bitcoin
localbitcoin.com cex.io btcdirect.eu
To get KEY and Decrypter Program :
1) Send 0.5 BTC bitcoins to this address with Description your PC Computer Name
Bitcoin Address 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Contact me by email to get your key 
flyper01@sigaint.org

Перевод записки на русский язык (оригинальный стиль сохранён):
Твои личные файлы были зашифрованы с сильным шифрованием RSA 2048 и уникальным ключом, сгенерированным для этого компьютера.
Мы презентуем программу Decrypter, которая дешифрует и вернёт контроль над всеми твоими зашифрованными файлами.
Мы принимаем оплату в Bitcoin, есть много методов для их получения.
На этих сайтах ты можешь купить Bitcoin
localbitcoin.com cex.io btcdirect.eu
Для получения ключа и программы Decrypter:
1) Отправь 0,5 BTC по этому адресу с описанием твоего PC компьютерного имени
Bitcoin-адрес 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Свяжись со мной по email для получения ключа
flyper01@sigaint.org

Распространяется с помощью email-спама и вредоносных вложений.

Шифрованию в обязательном порядке подвержены папки пользователей: Документы, Загрузки, Изображения, Музыка, Видео.

Список файловых расширений, подвергающихся шифрованию:
 .3ds, .3gp, .7z, .asf, .asp, .aspx, .avi, .bak, .bat,.bmp, .cmd, .crt, .csr, .csv, .db, .dbf, .dct, .doc,.docm, .docx, .dot, .dotm, .dotx, .dwg, .fla, .flv, .gif, .gz, .html, .jpeg, .jpg,.key, .m3u, .m4u, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpeg,.mpg, .odb, .odp, .odt,.otp, .ott, .p12, .pdf, .pem, .php, .png,.png, .pot,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .psd,.rar, .rtf, .sh, .slk, .sln, .sql,.std, .sti, .stw, .swf, .sxd, .sxi,.sxw, .tar, .tbk, .tgz, .tif, .tiff,.txt, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .vstx, .vsx , .vtx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (108 расширений). Из списка было удалено 9 повторов. 

Файлы, связанные с Ransomware:
instruction.txt
instruction.html
Старый PDB: C:\Users\User_name\Desktop\hidden-tear\hidden-tear\obj\Debug\invoice.pdb
Новый PDB: C:\Users\User_name\Desktop\Invoice\HiDdEn-TeAr\obj\Debug\invoice.pdb

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 26 ноября 2016:
Расширение: .flyper
Записка: Read_Me.txt
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются.


https://twitter.com/malwrhunterteam/status/773771485643149312
https://id-ransomware.malwarehunterteam.com/
http://www.bleepingcomputer.com/forums/t/626330/kawaiilocker-ransomware-help-support-how-decrypt-filestxt/
 Thanks:
 MalwareHunterTeam
 Michael Gillespie (Demonslay335)

 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 1 сентября 2016 г.

CryLocker

CryLocker Ransomware

Cry Ransomware, CSTO Ransomware


  Этот крипто-вымогатель шифрует данные пользователей с помощью якобы RSA-4096 (на самом деле AES-128), а затем требует выкуп на разную сумму, например, 0.27 ($150) или 1.136 ($625) биткоинов, чтобы вернуть файлы обратно. По прошествии 4 дней и 4 часов (=100 часов) при неуплате выкупа его сумма увеличится вдвое. 

© Генеалогия: Cry (CryLocker) > Sage

К зашифрованным файлам добавляется расширение .cry

Этимология названия: Название придумано самими вымогателями. Ранее мы использовали другое название: от названия поддельной организации, отображаемой на сайте оплаты выкупа: Central Security Treatment Organization Ransomware или кратко Central Security или CSTO, или просто Cry Ransomware


Верхняя часть сайта поддельной организации

Вся страница с сайта выкупа

Обои имеют в тексте название CryLocker

 Шифровальщик CryLocker создает папку с именем "old_shortcuts" на рабочем столе и перемещает все зашифрованные файлы с рабочего стола в эту папку. После успешного шифрования CryLocker создает записки о выкупе с расширениями .txt и .html, содержащие идентичные сообщения, и тоже помещает их на рабочем столе жертвы. Затем удаляет тома теневых копий файлов. 

CryLocker отличается от других вымогателей тем, что он сначала копирует файлы, шифрует их, а затем удаляет оригиналы. Большинство вымогателей просто пытаются зашифровать оригинальный файлы.

Записки с требованием выкупа называются:  !Recovery_[random_chars].txt и !Recovery_[random_chars].html . Также используется скринлок, встающий обоями рабочего стола (см. картинку выше). 
 
Два варианта записок

Содержание записки о выкупе:
Not your language? Use xxxxs://translate.google.com
WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES
HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining 8itcoin now and restore your data easy way!
If you HAVE REALLY VALUABLE DATA, you better MOT WASTE YOUR TIME,
because there is MO OTHER WAY to get your files,
EXCEPT MAKE A PAYMENT
Your personal ID:
*****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
What should you do with these addresses?
1. Take a look at the first address (in this case it is
http://neutx2ll7kh7h7zt.onion.to);
2. Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3. Release the left mouse button and press the right one;
4. Select "Copy" in the appeared menu;
5. Run your Internet browser (if you do not know what it is run the Internet Explorer);
6. Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7. Click the right mouse button in the field where the site address is written;
8. Select the button "Insert" in the appeared menu;
9. Then you will see the address
xxxx://neutx2ll7kh7h7zt.onion.to
appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1. Run your Internet browser (if you do not know what it is run the Internet Explorer);
2. Enter or copy the address
xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. Wait for the site loading;
4. On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. Run Tor Browser;
6. Connect with the button "Connect" (if you use the English version);
7. A normal Internet browser window will be opened after the initialization;
8. type or copy the address xxxx://neutx2ll7kh7h7zt.onion in this browser address bar;
9. Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Перевод записки на русский язык:
Не ваш язык? Воспользуйтесь xxxxs://translate.google.com.
ПРЕДУПРЕЖДЕНИЕ!
ВАШИ ДОКУМЕНТЫ, БАЗЫ ДАННЫХ, ПРОЕКТЫ, АУДИО И ВИДЕО СОДЕРЖИМОЕ, И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ
ЗАШИФРОВАНЫ С АЛГОРИТМОМ ВОЕННОГО КЛАССА
Как это произошло?
Специально для вашего ПК был создан персональный 4096-разрядный ключ RSA, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы де-шифрования.
Что мне делать?
Не ждать чуда и удвоения цены!
Начните получать биткоины сейчас и легко восстановите свои данные!
Если у вас ДЕЙСТВИТЕЛЬНО ЦЕННЫ ДАННЫЕ, вам лучше НЕ ТЕРЯТЬ ВАШЕ ВРЕМЯ,
потому что есть ТОЛЬКО ОДИН ПУТЬ, чтобы получить ваши файлы,
ЭТО СДЕЛАТЬ ОПЛАТУ
Ваш персональный идентификатор:
*****
Для получения подробных инструкций посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
Что вы должны делать с этими адресами?
1. Взгляните на первый адрес (в этом случае xxxx://neutx2ll7kh7h7zt.onion.to);
2. Выберите его с помощью курсора мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
6. Переместите курсор мыши на адресную строку браузера (это место, где написан адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написано адрес сайта;
8. В появившемся меню выберите кнопку «Вставить»;
9. Затем вы увидите адрес xxxx://neutx2ll7kh7h7zt.onion.to появится там;
10. Нажмите ENTER;
11. Сайт должен быть загружен; если он не загружен, повторите те же инструкции со вторым адресом и продолжайте до последнего адреса, если он вылетает.
Если по какой-то причине сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, как антивирусные компании заинтересованы в том, чтобы у вас не было возможности восстановить ваши файлы, но продолжать покупать их продукты.
В отличие от них мы готовы вам помочь всегда.
Если вам нужна наша помощь, но временные сайты недоступны:
1. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
2. Введите или скопируйте адрес
xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки;
5. Запустите Tor Browser;
6. Подключитесь кнопкой "Подключиться" (если вы используете английскую версию);
7. После инициализации откроется обычное окно интернет-браузера;
8. введите или скопируйте адрес xxxx://neutx2ll7kh7h7zt.onion в эту адресную строку браузера;
9. Нажмите ENTER;
10. Сайт должен быть загружен; если по какой-то причине сайт не загружается, подождите немного и повторите попытку
!!! ВАЖНО !!!
Обязательно скопируйте свой личный идентификатор и ссылку в свой блокнот, чтобы не потерять их.




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, кликбейта и веб-страниц с эксплойтами, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кратко: 
CryLocker имеет некоторые интересные характеристики, которые редко встречаются у других вымогателей, например: 
- передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber); 
- использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве; 
- опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.

Подробно: 
Когда ПК жертвы заражен, CryLocker собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта информация отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.

CryLocker будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.

С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайщие Wi-Fi сети. Вымогатель CryLocker использует функцию WlanGetNetworkBssList, чтобы получить список ближайщих беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.

Инфецировав ПК CryLocker делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна. 

Список файловых расширений, подвергающихся шифрованию:
 .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений). 

CryLocker удаляет тома теневых копии с помощью команды: 
vssadmin delete shadows /all /quiet

Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows. 

Затем на рабочем столе создаются записки о выкупе с названиями, которые содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты. 


Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе этой операции пострадавшей стороне следует задуматься о бесполезности выкупа. 

Файлы, связанные с CryLocker Ransomware:
<random_chars>.exe
<random_chars>.tmp
<random_chars>.html
!Recovery_<random_chars>.html
!Recovery_<random_chars>.txt
old_shortcuts\
<random_chars>

Расположения:
%UserProfile%\AppData\Local\Temp\<random_chars>.exe
%UserProfile%\AppData\Local\Temp\<random_chars>.tmp
%UserProfile%\AppData\Local\Temp\<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\<random_chars>

Записи реестра, связанные с CryLocker Ransomware:
HKCU\Software\<same_name_as_executable>

Сетевые соединения CryLocker Ransomware:
xxxx://imgur.com
xxxxs://pastee.org/
xxxxs://maps.googleapis.com
UDP Traffic to ip addresses in the 37.x.x.x range
xxxx://neutx2ll7kh7h7zt.onion
xxxx://neutx2ll7kh7h7zt.onion.to
xxxx://neutx2H7kh7h7zt.onion.cab
xxxx://neutx2H7kh7h7zt.onion.city

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryLocker )
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *