пятница, 25 мая 2018 г.

Scarab-Osk

Scarab-Osk Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.013 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия / Genealogy: Scarab > Scarab Family > Scarab-Amnesia > Scarab-WalkerScarab-Osk

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.osk

Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов / Examples of encrypted files:
2wHNr2=iP509GBmqO50aTPAu2mNNRi4fA2soVFTkoC4FJUQNMiYgc.osk
3avEeSVb4WcWOrIQVNHq5IFjxkNTXBjmi1JINs3KaFjfOVLs+=QP1qKt.osk
PW1pPHAVFbrkMqn9NLG66yItgFrHi+6G3FzCGobKH=d5IQW+jD2o+odLnf.osk

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется Name of ransom note
HOW TO RECOVER ENCRYPTED FILES.TXT
Scarab-Osk Ransomware

Содержание записки о выкупе / Contents of ransom note:
YOUR FILES ARE CRYPTED!
Your personal identifier
6A02000000000000***46D93F
Your documents, photos, databases, saving in games and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an e-mail to translatos@protonmail.com
In the letter, indicate your personal identifier (see At the beginning of this document).
If I can not connect through the mail, I can not
* Register on the site http://bitmsg.me (online delivery service Bitmessage)
* Send an email to BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53  with your email and ID of the identifier
Next, you pay the cost of the decryptor. In the reply letter you will receive the address Bitcoin-purse, for which it is necessary to perform the transfer of money in the amount of 0,013 bitcoin ( 0,013 BTC ~ 100 $ ).
If you do not have bitocoins
* Create a Bitcoin purse: https://blockchain.info/en/wallet/new
* Acquire the Bitcoin crypto currency:
https://localbitcoins.com/buy_bitcoins (Visa / MasterCard, etc.)
https://www.bitcoin.it/wiki (instruction for beginners)
* Send 0,013 BTC to the address in the email address
When the money transfer is confirmed, you will receive a file decryption for your computer.
After starting the decryption program, all your files will be restored.
Attention!
* Do not attempt to uninstall the program or run antivirus software
* Attempts to self-decrypt files will result in the loss of your data
* Decoders of other users are incompatible with your data, as each user unique encryption key

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000 *** 46D93F
Ваши документы, фотографии, базы данных, сохранения в играх и другие важные данные были зашифрованы.
Для восстановления данных требуется декриптор.
Чтобы получить декриптор, вы должны отправить email на адрес translatos@protonmail.com.
В письме укажите свой личный идентификатор (см. На начало этого документа).
Если я не могу подключиться к почте, я не могу
* Регистрируйтесь на сайте http://bitmsg.me (услуга онлайн-передачи Bitmessage)
* Отправьте email на BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53 с вашим email и ID идентификатора
Затем вы оплатите стоимость декриптора. В ответном письме вы получите адрес биткоин-кошелька, на который надо сделать перевод денег в размере 0,013 биткоина (0,013 BTC ~ 100 USD).
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Биткоин:
https://localbitcoins.com/buy_bitcoins (Visa / MasterCard и т. д.)
https://www.bitcoin.it/wiki (инструкция для новичков)
* Отправьте 0,013 BTC по адресу в email
Когда денежный перевод будет подтвержден, вы получите дешифровку файла для вашего компьютера.
После запуска программы дешифрования все ваши файлы будут восстановлены.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусную программу
* Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, так как каждый пользователь уникальный ключ шифрования

---
✋ Вымогатели, распространяющие новые версии Scarab, каждый раз переписывают текст записок в требованиями выкупа, переставляя слова, в том числе добавляя слова с ошибками, порой даже берут из предыдущих версий и записок других вымогателей, а также меняют контакты и способы связи. Это уже стало их традицией и их "идентификационной карточкой". Впрочем, скарабей в природе действует тоже также, собирая в комок всё, что найдет на своём пути...



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ ID в этом варианте содержит 646 знаков. 

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: translatos@protonmail.com
BM: BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 24 мая 2018 г.

Magician

Magician Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.033 BTC, чтобы вернуть файлы. Оригинальное название: Magician и Magician RSWware. На файле написано x1609y.exe. Разработчик подписался как: The Magician
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Stolich >> Magician

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
You have been attacked by the Magician RSWare, your Personal Identifier is ***  if you lose it - any chance of getting your data is flushed in the toilet

Перевод записки на русский язык:
Вы были атакованы Magician RSWare, ваш персональный идентификатор *** если вы его потеряли - шанс вернуть ваши данные смыт в туалете


Запиской с требованием выкупа выступает экран блокировки:

***
Имеется также некая записка в отдельном сообщении.

Содержание сообщения:
"gold is 1 part mercury and 3 parts sulfur", "msil.jabir by alcopaul"

Перевод на русский язык:
"золото - 1 часть ртути и 3 части серы", "msil.jabir by alcopaul"



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
x1609y.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: magicman22@protonmail.ch
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 22 мая 2018 г.

JosepCrypt

JosepCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: drweb32.exe. Среда разработки: Visual Studio 2015. Файл проекта называется: FullStart.pdb
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .josep

Активность этого крипто-вымогателя пришлась на конец апреля - вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.txt

Содержание записки о выкупе:
A l l   y o u r   f i l e s   a r e   e n c r y p t e d .   I f   y o u   w a n t   t o r e c o v e r t h e y ,   w r i t e   m e   t o   j o s e p n i v e r i t o @ a o l .   c o m  Y o u   h a v e   a   5   d a y s   Y O U R   K E Y :   *****
---
All your files are encrypted. If you want to recover they, write me to josepniverito@aol.com
You have a 5 days
YOUR KEY: *****

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Если вы хотите восстановить их, напишите мне на josepniverito@aol.com
У вас есть 5 дней 
ВАШ КЛЮЧ: *****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Добавляется в Автозагрузку Windows и показывает записку о выкупе RECOVERY.txt
Собирает информацию об установленных почтовых клиентах. 

Список файловых расширений, подвергающихся шифрованию:
.000, .001, .002, .acl, .aif, .aspx, .automaticDestinations-ms, .bin, .bla, .blf, .bmp, .cab, .chk, .contact, .Crwl, .cs, .csc, .css, .customDestinations-ms, .customUI, .DAT, .dat, .db, .decTest, .def, .DeskLink, .DIA, .DIC, .dll, .doc, .docx, .dotm, .dotx, .emf, .enc, .eps, .etl, .exe, .feed-ms, .feedsdb-ms, .fs, .fsc, .gif, .gthr, .h, .H1D, .H1H, .H1Q, .H1W, .hds, .htm, .html, .HxD, .HxH, .hxl, .hxn, .HxW, .icc, .icns, .ico, .inf, .ini, .jpg, .jrs, .js, .Lck, .lib, .library-ms, .lnk, .log, .lst, .MAPIMail, .mp3, .msg, .mydocs, .obi, .oeaccount, .one, .onecache, .onetoc2, .pat, .pbk, .pck, .pdf, .pem, .php, .png, .pst, .py, .pyc, .pyd, .pyo, .pyw, .rtf, .sample, .sdf, .searchconnector-ms, .sec, .Targets, .tcl, .theme, .tm, .tmp, .trx_dll, .txt, .url, .uue, .vbs, .vdm, .wer, .wma, .wmdb, .wmf, .wpl, .xls, .xlsx, .xltx, .xml, .ZFSendToTarget, ...

Это наверняка будут документы и шаблоны MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, в том числе файлы без расширений. 

Файлы, связанные с этим Ransomware:
RECOVERY.txt
drweb32.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: josepniverito@aol.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 мая 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .karne
Email: karnel.fikol@aol.com
Записка о выкупе: RECOVERY.txt
Содержание записки о выкупе: 
All your files are encrypted. If you want to recover they, write me to karnel.fikol@aol.com
You have a 5 days
YOUR KEY: AchTJSWQ78PhBCddNDf9PZtEdQvEcNf3s5pk7D***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JosepCrypt)
 Write-up, Topic of Support
 🎥 Video review
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 21 мая 2018 г.

PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью PGP, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: PGPSnippet. На файле написано: PGPSnippet.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: PGP >> PGPSnippet 

К зашифрованным файлам добавляется расширение .decodeme666@tutanota_com

Активность этого крипто-вымогателя пришлась середину и на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README_DECRYPT!!!.txt

Содержание записки о выкупе:
ATTENTION !
All your documents and other files ENCRYPTED !!!
TO RESTORE YOUR FILES YOU MUST TO PAY: 500$ by Bitcoin to this address: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
You can open an wallet here:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Send the file on the way "WIN + R >> %APPDATA%" file name hosts.txt to our e-mail after paymentat this email address: decodeme666@tutanota.com
We will confirm payment and send to you decrypt key + instruction
Remember: you have a 72 hours and if you not paid, that price will up
ATTENTION : all your attempts to decrypt your PC without our software and key can lead to irreversible destruction
of your files !

Перевод записки на русский язык:
ВНИМАНИЕ !
Все ваши документы и другие файлы ЗАШИФРОВАНЫ !!!
ЧТОБЫ ВЕРНУТЬ ВАШИ ФАЙЛЫ, ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ: 500$ в биткоинах на этот адрес: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
Вы можете открыть кошелек здесь:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Отправьте файл из пути «WIN + R >> % APPDATA%» имя файла hosts.txt на нашу почту после оплаты на этот email-адрес: decodeme666@tutanota.com
Мы подтвердим оплату и отправим вам ключ дешифрования + инструкцию
Помните: у вас есть 72 часа, и если вы не заплатили, эта цена повысится
ВНИМАНИЕ: все ваши попытки расшифровать ваш компьютер без нашей программы и ключа могут привести к необратимому повреждению
ваших файлов !



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Вывод: Использование PGP совершенно бесполезно, если ключ небезопасен. Поэтому файлы можно дешифровать. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PGPSnippet.exe
!!!README_DECRYPT!!!.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decodeme666@tutanota_com
BTC: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PGPSnippet)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Eternal

Eternal Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 $, чтобы вернуть файлы. Оригинальное название: E T E R N A L _ R A N S O M W A R E. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

Фактически файлы не шифруются. К фейк-зашифрованным файлам добавляется расширение .eternal

Образец этого вымогателя был найден во второй половине мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, находится в разработке. 

Записки с требованием выкупа называются: 
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs


Содержание записки о выкупе:
Hello,
Your files got encrypted by the
E T E R N A L _ R A N S O M W A R E
There's no escape until you pay me
Follow the instructions on the decryptor
Good Luck. 

Перевод записки на русский язык:
Привет,
Твои файлы были зашифрованы
E T E R N A L _ R A N S O M W A R E
Нет спасения, пока ты не заплатишь мне
Следуйте инструкциям на расшифровке
Удачи.

Содержание VBS-файла:
Dim message, sapi 
message="attention. attention. attention. Your files, documents and photos got encrypted. They we're encrypted with RSA-4096, AES256 and a millitary code. You can't decrypt them unless you pay me 500 dollars. Run the eternal decryptor and follow the instructions. Good luck."
Set sapi=CreateObject("sapi.spvoice")
sapi.Speak message

Перевод содержания VBS-файла на русский язык:
внимание. внимание. внимание. Твои файлы, документы и фотографии зашифрованы. Они зашифрованы с помощью RSA-4096, AES256 и военного кода. Ты не сможешь расшифровать их, если не заплатишь мне 500 долларов. Запусти eternal decryptor и следуй инструкциям. Удачи.

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
ATTENTION,
YOUR FILES, DOCUMENTS AND PHOTOS GOT ENCRYPTED, THEY WERE ENCRYPTED WITH: RSA-4096, AES256 AND A MILLITARY CODE.
YOU CAN'T DECRYPT THEM UNLESS YOU PAY ME 500$
RUN THE ETERNAL DECRYPTOR FOR MORE INSTRUCTIONS 
GOOD LUCK.

Перевод текста на русский язык:
Внимание,
Ваши файлы, документы и фотографии были зашифрованы, они были зашифрованы с помощью: RSA-4096, AES256 и военного кода.
Вы не можете расшифровать их, если вы не платите мне 500$
Запустите вечный дешифратор для получения дополнительных инструкций

Удачи.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Фактически файлы не шифруются, но после доработки это вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs
<image_for_wallpaper>
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Eternal)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 мая 2018 г.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .sigrun

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html


Тексты в видимой части аналогичны. Но есть еще скрытый текст. Об этом ниже. 

Содержание записки о выкупе:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58  dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d  3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e  24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4  13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс  3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском. 

Содержание этого текста на исландском или древнескандинавском языке: 
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Sigrun проверяет значения в реестре HKEY_CURRENT_USER\Keyboard Layout\Preload и ищет "00000419" (Russian LCID в hex). 
Вывод: русскоязычные системы пользователей не должны быть зашифрованы этим шифровальщиком. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sigrun_decryptor@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 мая 2018:
Пост в Твиттере >
Результаты анализов: VT


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton