вторник, 22 мая 2018 г.

JosepCrypt

JosepCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .josep

Активность этого крипто-вымогателя пришлась на конец апреля - вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.txt

Содержание записки о выкупе:
A l l   y o u r   f i l e s   a r e   e n c r y p t e d .   I f   y o u   w a n t   t o r e c o v e r t h e y ,   w r i t e   m e   t o   j o s e p n i v e r i t o @ a o l .   c o m  Y o u   h a v e   a   5   d a y s   Y O U R   K E Y :   *****

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Если вы хотите восстановить их, напишите мне на josepniverito@aol.com, у вас есть 5 дней ВАШ КЛЮЧ: *****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVERY.txt
drweb32.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: josepniverito@aol.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JosepCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 21 мая 2018 г.

PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью PGP, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: PGPSnippet. На файле написано: PGPSnippet.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: PGP >> PGPSnippet 

К зашифрованным файлам добавляется расширение .decodeme666@tutanota_com

Активность этого крипто-вымогателя пришлась середину и на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README_DECRYPT!!!.txt

Содержание записки о выкупе:
ATTENTION !
All your documents and other files ENCRYPTED !!!
TO RESTORE YOUR FILES YOU MUST TO PAY: 500$ by Bitcoin to this address: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
You can open an wallet here:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Send the file on the way "WIN + R >> %APPDATA%" file name hosts.txt to our e-mail after paymentat this email address: decodeme666@tutanota.com
We will confirm payment and send to you decrypt key + instruction
Remember: you have a 72 hours and if you not paid, that price will up
ATTENTION : all your attempts to decrypt your PC without our software and key can lead to irreversible destruction
of your files !

Перевод записки на русский язык:
ВНИМАНИЕ !
Все ваши документы и другие файлы ЗАШИФРОВАНЫ !!!
ЧТОБЫ ВЕРНУТЬ ВАШИ ФАЙЛЫ, ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ: 500$ в биткоинах на этот адрес: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
Вы можете открыть кошелек здесь:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Отправьте файл из пути «WIN + R >> % APPDATA%» имя файла hosts.txt на нашу почту после оплаты на этот email-адрес: decodeme666@tutanota.com
Мы подтвердим оплату и отправим вам ключ дешифрования + инструкцию
Помните: у вас есть 72 часа, и если вы не заплатили, эта цена повысится
ВНИМАНИЕ: все ваши попытки расшифровать ваш компьютер без нашей программы и ключа могут привести к необратимому повреждению
ваших файлов !



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Вывод: Использование PGP совершенно бесполезно, если ключ небезопасен. Поэтому файлы можно дешифровать. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PGPSnippet.exe
!!!README_DECRYPT!!!.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decodeme666@tutanota_com
BTC: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PGPSnippet)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 мая 2018 г.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .sigrun

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html


Тексты в видимой части аналогичны. Но есть еще скрытый текст. Об этом ниже. 

Содержание записки о выкупе:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58  dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d  3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e  24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4  13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс  3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском. 

Содержание этого текста на исландском или древнескандинавском языке: 
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Sigrun проверяет значения в реестре HKEY_CURRENT_USER\Keyboard Layout\Preload и ищет "00000419" (Russian LCID в hex). 
Вывод: русскоязычные системы пользователей не должны быть зашифрованы этим шифровальщиком. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sigrun_decryptor@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mr.Dec

Mr.Dec Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .[ID]<random{16}>[ID]

Пример зашифрованного файла:
Document.xls [ID]s-y7Lle4t021D5BD[ID] - между двумя ID 16 знаков

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decoding help.hta

Содержание записки о выкупе:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email mr.dec@protonmail.com or mr.dec@tutanota.com
Your
ID ***** ID
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
3. Attach the file with the location c:\Windows\DECODE KEY.KEY
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!
0·1·19·28

Перевод записки на русский язык:
Вам не повезло! Ужасный вирус захватил ваши файлы! Для декодирования, пожалуйста, свяжитесь по email mr.dec@protonmail.com или mr.dec@tutanota.com
Ваш
ID ***** ID
1. В строке темы напишите ваш ID.
2. Прикрепите 1-2 зараженных файла, которые не содержат важной информации (менее 2 мб)
3. Прикрепите файл из пути c:\Windows\DECODE KEY.KEY, чтобы сгенерировать декодер и восстановить тестовый файл.
Поторопись! Время ограничено!
Внимание!!!
По истечении этого времени частный ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены!
0·1·19·28


Времени, действительно, даётся мало. Потому, после того как оно истечет, при открытии записки о выкупе будет показано следующее. Минимум видимого текста и сообщение о том, что время вышло. Но текст там есть, нужно просто выделить всё курсором. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decoding help.hta
DECODE KEY.KEY
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mr.dec@protonmail.com
mr.dec@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 14 мая 2018 г.

Sepsis

Sepsis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Sepsis Ransomware (написано в заголовке записки о выкупе). На файле написано: svchost.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .SEPSIS
Фактически используется составное расширение .[Sepsis@protonmail.com].SEPSIS

Активность этого крипто-вымогателя пришлась на первую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Info.hta

Содержание записки о выкупе:
Welcome to Sepsis Ransomware!
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Sepsis@protonmail.com
Write this ID in the title of your message 16E734E0
In case of no answer in 24 hours write us to theese e-mails: sepsis@airmail.cc
The price depends on how fast you write to us. You have to pay for decryption in Bitcoins. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://locabitcoins.com/buy bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Добро пожаловать в Sepsis Ransomware!
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail Sepsis@protonmail.com
Напишите этот идентификатор из заголовка сообщения 16E734E0
В случае отсутствия ответа в течение 24 часов напишите нам на этот email: sepsis@airmail.cc
Цена зависит от того, как быстро вы напишете нам. Вы должны заплатить за дешифрование в биткоинах. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед уплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 10 Мб (не архивированный), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://locabitcoins.com/buy биткойны
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Из ресурсов видно, что используется одна составная команда:
/c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.AAPP, .BAT, .CAT, .CHM, .CHS, .CHT, .CNT, .CZE, .DAN, .DAT, .DEU, .DLL, .DOC, .DOCX, .ENU, .EPS, .EUQ, .ESP, .EXE, .FLT, .FRA, .GIF, .HLP, .HRV, .HTM, .HTML, .HUN, .HXK, .HXS, .HXT, .IDX_DLL, .INI, .ION, .ITA, .JPG, .JPN, .KOR, .LOG, .LOG1, .LOG2, .MSI, .NLD, .NOR, .OLB, .PDF, .PNG, .POL, .PTB, .RUM, .RUS, .SFX, .SKY, .SLV, .SUO, .SVE, .SYS, .TTF, .TUR, .TXT, .UKR, .WPG, .XLS, .XSL (63 расширения в верхнем регистре).
.aapp, .bat, .cat, .chm, .cxs, .cht, .cnt, .cze, .dan, .dat, .deu, .dll, .doc, .docx, .enu, .eps, .esp, .euq, .exe, .flt, .fra, .gif, .hlp, .hrv, .htm, .htm, .hun, .hxk, .hxs, .hxt, .idx_dll, .ini, .ion, .ita, .jpg, .jpn, .kor, .log, .log1, .log2, .msi, .nld, .nor, .olb, .pdf, .png, .pol, .ptb, .rum, .rus, .sfx, .sky, .slv, .suo, .sve, .sys, .ttf, .tur, .txt, .ukr, .wpg, .xls, .xsl (63 расширения в нижнем регистре).

Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., файлы без расширений, в том числе файл BOOTNXT.

Файлы, связанные с этим Ransomware:
Info.hta
svchost.exe
SadeghSample_5afc4a7c9931365644caeb64.exe
wr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Windows\svchost.exe

Жестко закодированный мьютекс: 
HJG><JkFWYIguiohgt89573gujhuy78^*(&(^&^$
䩈㹇䨼䙫套杉極桯瑧㤸㜵朳橵畨㝹常⠪⠦♞⑞

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sepsis@protonmail.com
sepsis@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Sepsis)
 Write-up, Topic of Support
 🎥 Video review
 <- Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Rapid-3

Rapid 3.0 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларуси и Казахстана >>>


Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.07 BTC, чтобы вернуть файлы. Оригинальное название: rapid3.0 (указано в коде) и RAPID v3 (указано в записке). На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Rapid > Rapid 2.0 Rapid 3.0

К зашифрованным файлам добавляется расширение как и у варианта Rapid 2.0, по шаблону: .[5-random-chars]

К зашифрованным файлам добавляется составное расширение по шаблону .
Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из следующих стран: США, Иран, Германия, Япония, Бенин, Южная Корея, Индонезия, Испания, Малайзия, Индия.

Записка с требованием выкупа называется как и у варианта Rapid 2.0, по шаблону: DECRYPT.[5-random-chars].txt


Содержание записки о выкупе:
[ RAPID RANSOMWARE V3 ]
Hello, dear friend!
All your files have been ENCRYPTED
The only way to decrypt your files is to receive the private key and decryption program.
To get the key and decryption program see instruction below:
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser
3. Run Tor Browser
4. In the Tor Browser open website: http://vgon3ggilr4vu32q.onion/?id=BTC
Note! This page available via Tor Browser only!
5. Follow the instruction at this website
On our page you can see all instruction how to decrypt your system and decrypt for free 1 file!
ATTENTION!
Do not try to decrypt your data using third-party software, it may cause permanent data loss.

Перевод записки на русский язык:
Здравствуй, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Для получения ключа и программы дешифрования см. Инструкцию ниже:
1. Загрузите Tor-браузер - https://www.torproject.org/
2. Установите Tor-браузер
3. Запустите Tor-браузер
4. В открывшемся Tor-браузере: http://vgon3ggilr4vu32q.onion/?id=BTC
Заметка! Эта страница доступна только через Tor-браузер!
5. Следуйте инструкциям на этом веб-сайте
На нашей странице вы можете увидеть все инструкции по расшифровке вашей системы и расшифровке бесплатно 1 файла!
ВНИМАНИЕ!
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к потере данных.

Скриншоты с сайта вымогателей

 В качестве поддержки вымогатели нахально демонстрируют свой  новый email: demonslay335@rape.lol
В котором используется ник demonslay335, принадлежащий на форуме BleepingComputer, в Твиттере и на других сайтах известному исследователю вредоносных программ и разработчику ID-Ransomware Майклу Джиллеспи. Им это известно, потому они так выделили этот адрес. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
Rapid Decryptor

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: vgon3ggilr4vu32q.onion/?id=BTC
Email-вымогателей: demonslay335@rape.lol
BTC-вымогателей: 1HoUDMGrNkeG1WoxiRVJCxUXdY35EwZq1i
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rapid Ransomware
Rapid 2.0 Ransomware
Rapid 3.0 Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Rapid 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton