Сервис ID Ransomware: Как опознать вымогателя, зашифровавшего файлы

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 5 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    ID Ransomware — теперь можно опознать вымогателя, зашифровавшего файлы

    id1..png

    Сервис ID Ransomware предлагает идентификацию шифровальщика-вымогателя, который зашифровал файлы.

    Это делается путём загрузки на сайт записки с требованием выкупа и одного зашифрованного файла.

    id2.png

    Какие Ransomware идентифицируются?
    Этот сервис сейчас идентифицирует более 200 вымогателей. Вот регулярно пополняемый список того, что уже определяется:

    777, 7ev3n, 7h9r, 8lock8, ACCDFISA v2.0, Alfa, Alma Locker, Alpha, AMBA, Apocalypse, ApocalypseVM, Apocalypse (Unavailable), AutoLocky, AxCrypter, BadBlock, Bandarchor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitMessage, BitStak, Black Feather, Black Shades, Blocatto, Booyah, Brazilian Ransomware, Bucbi, BuyUnlockCode, Cerber, Cerber 2.0, Cerber 3.0, Chimera, Coin Locker, CoinVault, Coverton, Cryakl, CryFile, CryLocker, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt38, CryptFuck, CryptInfinite, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptorBit, CryptoRoger, CryptoShocker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, CTB-Faker, CTB-Locker, DEDCryptor, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, Domino, ECLR Ransomware, EduCrypt, El Polocker, Encryptor RaaS, Enigma, Fabiansomware, Fantom, FenixLocker, Flyper, GhostCrypt, Globe, Gomasom, Herbst, Hi Buddy!, HolyCrypt, HydraCrypt, Jager, Jigsaw, JobCrypter, JuicyLemon, KawaiiLocker, KeRanger, KEYHolder, KimcilWare, Kozy.Jozy, KratosCrypt, Kriptovor, KryptoLocker, LeChiffre, LockLock, Locky, Lortok, Magic, Maktub Locker, MarsJoke, MirCop, MireWare, Mischa, Mobef, n1n1n1, NanoLocker, NegozI, Nemucod, Nemucod-7z, NullByte, ODCODC, OMG! Ransomcrypt, PadCrypt, PayForNature, PClock, Philadelphia, PowerLocky, PowerWare, Protected Ransomware, R980, RAA-SEP, Radamant, Radamant v2.1, RansomCuck, RarVault, Razy, REKTLocker, RemindMe, Rokku, Russian EDA2, SamSam, Sanction, Satana, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Sport, Stampado, SuperCrypt, Surprise, SZFLocker, Team XRat, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Troldesh, TrueCrypter, UCCU, UmbreCrypt, UnblockUPC, Unlock92, Unlock92 2.0, Uyari, VaultCrypt, VenusLocker, WildFire Locker, WonderCrypter, Xorist, Xort, XRTN, zCrypt, ZimbraCryptor, Zyklon...

    Можно расшифровать мои данные?
    Нет. Данный сервис только для определения вымогателя, зашифровавшего файлы. Мы хотим указать правильное направление, чтобы вы знали, есть ли способ расшифровки файлов. Способа восстановления может и не быть, т.к. каждый случай индивидуален.

    Это конфиденциально?
    Все загружаемые файлы сразу анализируются по базе данных. Если есть результат, они немедленно удаляются. Если нет результата, то файлы передаются доверенным аналитикам, чтобы помочь с будущим детектом и идентификацией нового вымогателя.
    Данные передаются на сервер через SSL, т.е. третья сторона не перехватит соединение.
    Поэтому, я не гарантирую файлам 100% конфиденциальности. Данные временно хранятся на общем хостинге, и я не отвечаю за то, что может быть с ними сделано.

    Почему у меня разные результаты?
    Многие вымогатели имеют схожие "признаки", например, может совпасть присваиваемое расширение. Это затрудняет идентификацию и иногда не дает 100% точности. Результаты отсортированы попарно, чтобы точнее определить вымогателей.

    Можно ли загрузить образец вредоноса или подозрительный файл?
    Нет. Этот сервис только для загрузки записки о выкупе и зашифрованных файлов для определения вымогателя. Для анализа файлов отправьте их на VirusTotal или Malwr .

    Почему некоторые названия выделены жирным шрифтом?
    Ransomware, выделенные жирным шрифтом, недавно добавлены в список или изменены в течение последней недели.
     
    akok, Dragokas, Guest и 4 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    ID Ransomware — теперь и на русском языке! :Drinks:
    ID Ransomware

    русский.png

    Однажды выбранный язык закрепляется в браузере, если не чистить кукис.
     
    lilia-5-0, Dragokas, Guest и 2 другим нравится это.
  3. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    Прям толпой поперли супостаты. Каких только нет.
     
    SNS-amigo нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Из оригинального списка определяемых шифровальщиков выведены:
    EnCiPhErEd - как разновидность Xorist с общим декриптором для всего семейства;
    GNL Locker - как получивший дальнейшее развитие в виде Zyklon Locker.
    В нашем списке они оставлены со ссылками на их описание в блоге ID Ransomware.
     
    lilia-5-0, Охотник и Kиpилл нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Сервис ID Ransomware сегодня обновился новой функцией контакта и обратной связи.
    ид2.png

    ид3.png

    App v1.2.5
     
    lilia-5-0, iskander-k, Kиpилл и ещё 1-му нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Не успел я посетовать на низкий процент криптовымогателей прошлой недели, как только что сразу два: немецкий Herbst и русский Russian EDA2.
    Сумма выкупа в обоих случаях одинакова - 0.1 BTC. Мельчают они что-ли... :Biggrin:
     
    lilia-5-0, Охотник и Kиpилл нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Вчера и сегодня добавились три новых криптовымогателя: Apocalypse, RAA-SEP, 7h9r.
    Два на английском, один на русском.
    Ссылки на русскоязычное описание см. в первом посте.
     
    lilia-5-0 и Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    В IDR добавились определения и описания криптовымогателей: Crypt38, CryptoShocker, ApocalypseVM, DEDCryptor, ToxCrypt, UCCU, XRTN
    Половина из них ориентирована на русскоязычных пользователей.
     
    lilia-5-0 и Охотник нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    В IDR добавились определения и описания NegozI, CryptoRoger и Kozy.Jozy. Два на английском, один на русском.
    Ссылки на русскоязычное описание см. в первом посте.
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Сегодня в IDR добавлены ZimbraCryptor и SecureCryptor.
    Ссылки на русскоязычное описание см. в первом посте.
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлены KratosCrypt, TowerWeb, Bart, Satana и так называемый HiddenTear 2.0 (EduCrypt).
    Ссылки на русскоязычное описание см. в первом посте.
     
    Охотник и lilia-5-0 нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлены: AMBA, MirCop, SZFLocker, Unlock92, WildFire Locker.
    Ссылки на русскоязычное описание криптовымогателей см. в первом посте.
     
    lilia-5-0 и Охотник нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлены/обновлены: Alfa, BitStak, Bucbi, CryptoFinancial, Kryptovor, KryptoLocker, PizzaCrypts.
    HiddenTear 2.0 переименован в EduCrypt и находится на другой позиции в списке.
    Ссылки на русскоязычное описание криптовымогателей см. в первом посте.
     
    lilia-5-0 и Охотник нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлена идентификация вымогателей: Coin Locker, CTB-Faker, DirtyDecrypt, El Polocker, UltraDecrypter, Unlock92 2.0
    Ссылки на дополнительную информацию и описание есть в первом посте темы.
     
    lilia-5-0 и Охотник нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлена идентификация вымогателей: Bandarchor, CrypMic, CryptorBit, CryptXXX 4.0, HolyCrypt, PayForNature, ACCDFISA v2.0. Причем, только сегодня 5 штук. Описания, по возможности, также добавил.

    Раздельная идентификация Shade интегрировалась в ID к Troldesh.
     
    lilia-5-0 и Охотник нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлена идентификация вымогателей: Apocalypse (Unavailable), CryptInfinite, Jager, PowerLocky, Razy, Simple_Encoder, Uyari и др.

    Раздельная идентификация UltraDecrypt интегрировалась в ID к CryptXXX.
     
    lilia-5-0 и Охотник нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Статистика от разработчика IDR — около половины идентифицируемых криптовымогателей дешифрованы (decryptable) или дешифруются (decryptablish) в настоящее время, часть из них могут быть дешифрованы (possible), меньшая часть еще до конца не изучена (unknown) или отсутствуют образцы для изучения. И лишь 38,3% из опознанных в IDR остаются недешифрованными (not decryptable).

    decryption-stat.jpg
     
    lilia-5-0 и Охотник нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлена идентификация вымогателей: Cerber 2.0, Razy, ShinoLocker, VenusLocker.

    Раздельная идентификация SecureCryptor интегрировалась в ID к Apocalypse.
    Раздельная идентификация Vipasana интегрировалась в ID к Cryakl.
     
    lilia-5-0 и Охотник нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    За прошедшие дни в IDR добавлена идентификация вымогателей: R980, REKTLocker, Smrss32.

    Раздельная идентификация PizzaCrypts интегрировалась в ID к JuicyLemon.
     
    lilia-5-0 и Охотник нравится это.

Поделиться этой страницей