Еженедельный вестник

(c) При публичном цитировании или перепубликации
информации текста из этой темы на иных ресурсах
ссылка на автора SNS-amigo или эту тему обязательна.


Криптовымогательская неделя (7-14 мая)

Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе.

9 мая
Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой версии вымогателя, для которой ЛК выпустила дешифровщик RannohDecryptor, добавив в него функционал дешифровки файлов, зашифрованных первой версией CryptXXX.

Рис. Записка о выкупе CryptXXX 2.0 Ransomware
============================
10 мая
Опубликована подробная информация об вымогателе Enigma Ransomware, ориентированном только на русскоязычных пользователей.

Спойлер: Описание этого выпогателя

Enigma Ransomware

Рис. Записка о выкупе Enigma Ransomware
===========================
10-11 мая
Появилась информация о китайском вымогателе Shujin Ransomware, первоначально названном Chinese Ransomware, ориентированном только на китайскоязычных пользователей. По тому, как вымогатель подробно снабжен инструкциями на китайском, становится очевидным, что его создатели серьезно взялись за его распространение. По масштабам подготовки, его можно сравнить с Brazilian (Able) Ransomware.

Спойлер: Описание этих вымогателей

Shujin Ransomware
Brazilian (Able) Ransomware

Рис. Записка о выкупе Shujin Ransomware
===========================
11 мая
GNL Locker, или Германско-Нидерландский Локер, был обнаружен ранее, но только теперь был получен образец для изучения. Когда вымогатель запускается, то он проверяет IP-адрес компьютера и шифрует файлы, только если ПК находится в Нидерландах или Германии.
Файлы, зашифрованные с помощью GNL Locker получают расширение .locked , к ним прилагаются записки с требованием выкупа UNLOCK_FILES_INSTRUCTIONS.txt и UNLOCK_FILES_INSTRUCTIONS.txt .

Спойлер: Описание этого вымогателя

GNL Locker Ransomware

Рис. Записка о выкупе GNL Locker Ransomware
===========================
12 мая
CryptoHitman стал продолжением вымогателя Jigsaw, но на этот раз его создатели решили шокировать свои жертвы сопровождавшей вымогателя порнографией. К зашифрованным файлам стало добавляться новое расширение .porno .

Рис. Экран блокировки CryptoHitman с запиской о выкупе
===========================
12 мая
Усилилось распространение криптовымогателя Crypren, добавляющего расширение .ENCRYPTED к зашифрованным файлам и бросающего своим жертвам записку о выкупе READ_THIS_TO_DECRYPT.html . К счастью для пострадавших, уже есть дешифровщик DecryptCrypren для зашифрованных Crypren файлов.

Спойлер: Описание этого вымогателя

Crypren Ransomware

Рис. Записка о выкупе Crypren Ransomware
=========================
12-13 мая
Вернулся вымогатель Petya, получивший в помощь "товарища" - криптовымогатель Misha. Сначала в системе пытается установиться Petya, а если это не удаётся сделать (админ-права не предоставлены), но устанавливается криптовымогатель Mischa, добавляющий к имени файла четырёхсимвольное расширение. Этот вымогательский союз также стал поставляться как услуг - Ransomware as a Service (RaaS).

Рис. Записка о выкупе Misha Ransomware
Статью о них см. выше.
============================
13 мая
Вчера, через 4 дня, ЛК выпустила новую 1.9.1.0 версию декриптера RannohDecryptor для файлов, зашифрованных CryptXXX 2.0, полностью заменив предыдущею версию в репозитории.

Спойлер: Источник. © Автор перевода SNS-amigo

The Week In Ransomware - May 13 2016

 

[SNS-amigo]

Криптовымогательская неделя (15-21 мая)

Сегодня расскажем о криптовымогателях, информация о которых не размещалась после публикации о 8lock8 Ransomware.
Время обнаружения у всех разное, упорядочено по дате публикации в блоге информации на русском языке.
(c) При публичном цитировании или перепубликации информации ссылка на автора SNS-amigo (Amigo-A) или этот пост обязательна.

15 мая
Xort Ransomware
Xort представляет собой клон или модифицированный вариант вымогателя TeslaCrypt, известного с 2014 года. Ранее исследователи нашли способы восстановления файлов, пострадавших от атак TeslaCrypt, но расширение .xort, ставшее названием вымогателя, относится к новой версии этой угрозы и пока недешифруемо. Для шифрования используется алгоритм RSA-2048. Рост вариантов TeslaCrypt, связан с распространением этой угрозы как RaaS (Вымогатель-как-Услуга) на подпольных форумах.

15 мая
BuyUnlockCode Ransomware
BuyUnlockCode шифрует файлы с помощью RSA-1024 , а затем требует выкуп — приобретение уникального ключа разблокировки. К зашифрованным файлам прибавляется расширение .encoded.<unique id> . Оригинальный файл example.txt после шифрования станет example.txt.encoded.JS8521121, где буквенно-цифровой код и есть уникальный идентификатор.

16 мая
CryptoHasYou Ransomware
CryptoHasYou шифрует данные с помощью алгоритма AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .enc. Через 3 дня после заражения и далее каждые сутки оплата поднимается на $150. Название от фразы "Crypto_has_you" (перевод см. у Google), используемой в записке о выкупе. Видимо, начальная версия криптовымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили.

16 мая
SeginChile Ransomware
Этот криптовымогатель шифрует файлы с помощью алгоритма AES-256 и добавляет к зашифрованным файлам расширение .seginchile . Создан на основе криптоконструктора EDA2. Ориентирован на чилийских пользователей.

16 мая
GhostCrypt Ransomware
GhostCrypt шифрует файлы с помощью алгоритма AES-256, а затем требует 2 биткоинов за возврат файлов. К зашифрованным файлам добавляется расширение .Z81928819. GhostCrypt cоздан на основе криптоконструктора HiddenTear.

17 мая
Xorist Ransomware
Xorist известен давно, а вымогатели на его основе продолжают появляться. Проблема идентификации криптовымогателя на его основе в том, что зашифрованные файлы имеют разные расширения, разные записки о выкупе, что затрудняет жертве поиск информации. Emsisoft удалось получить Encoder Builder и создать новый дешифровщик.

17 мая
777 Ransomware
777-й шифрует файлы, используя алгоритм XOR или аналог, а затем требует выкуп в $800, чтобы вернуть файлы сегодня, и $1000 — завтра утром. К зашифрованным файлам добавляется расширение .777, а имена файлов модифицируются по схеме: Имя файла.[расширение]_[число-месяц-год-время]_$[email для связи]$.777 . Информация о дешифровщике уже публиковалась.

18 мая
SNSLocker Ransomware
SNSLocker шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Зашифрованные файлы получают расширение .RSNSLocked. В названии расширения сокращено название Ransomware SNSLocked. Если размер файла больше, чем нужно шифровальщику, чтобы зашифровать файлы, то используются функции SplitFileBasedOnSize и SizeSplit, разбивающие файл на равные части с расширением .RSplited. Потом файл шифруется, перезаписывается и расширение заменяется на .RSNSlocked.

18 мая
Bloccato Ransomware
Bloccato шифрует данные и требует 5 биткойнов ($2000) за расшифровку. Через 3 дня сумма выкпа будет уже 10 битоинов и еще через 3 суток ключ дешифрования будет уничтожен. Зашифрованные файлы получают расширение .bloccato. Криптовымогатель ориентирован на итальянских пользователей. Слово bloccato переводится с итальянского как "блокирован".

18 мая
Zyklon Locker Ransomware
Zyklon Locker создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом, могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (21-27 мая)

Новая неделя оказалась насыщенной и на новые криптовымогатели, и на декриптеры для них, и на новые курьёзы.

К новым относятся криптовымогатели:
AxCrypter Ransomware шифрует файлы, используя возможности легитимной утилиты AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .axx. Путаный, несвязный текст из записки о выкупе и некоторые слова указывают на турецкоязычного автора. Криптовымогатель ориентирован на атаки серверов организаций. Описание составлено 21 мая.

ODCODC Ransomware требует выкуп в 1 BTC или 25000 рублей. К зашифрованным файлам прибавляется расширение .odcodc, которое дополняется почтовым адресом вымогателей. Как оказалось, вымогатели — украинцы, т.к. в переписке с пострадавшими используют украинские и русские слова вперемежку. Описание составлено 23 мая.

BadBlock Ransomware требует 2 биткоина (~$900) за расшифровку. К зашифрованным файлам никакое специальное расширение не добавляется. Примечателен ярко-красным экраном экраном блокировки и тем, что с легкостью шифрует данные на суперновой Windows 10. Важная особенность — шифруются даже исполняемый файлы системы, после чего она уже не загружается. Описание составлено 23 мая.

ZCrypt Ransomware требует выкуп в 1.2 биткоина. К зашифрованным файлам прибавляется расширение .zcrypt. Вероятно, это новая итерация криптовымогателя, который в марте атаковал русскоязычных пользователей и выдвигал совершенно другие требования выкупа. Описание составлено 24 мая.

!!! У ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Таким образом, ZCrypt является одним из первых саморазмножающихся шифровальщиков и крайне опасен.

DMA Locker 4.0 Ransomware, появившись в конце прошлой недели, сначала требовал выкуп в 1 биткоин (~$ 440 за 1 BTC на 24 мая 2016 г.), затем сумма выкупа стала расти соразмерно аппетитам вымогателей: 1,5 - 2 - 3 - 4 биткоина. К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. Описание составлено 25 мая.

К получившим обновление относятся:
Jigsaw Ransomware получил своеобразное обновление в виде нового дизайна Invisible Empire и нового расширения .payransom для зашифрованных файлов. Zyklon Locker, описанный в конце прошлой недели, на этой неделе тоже получил обновление.

К курьёзам можно отнести два случая:
Закрывшийся проект криптовымогателя TeslaCrypt, стал рекомендовать использовать TeslaDecoder для дешифровки файлов, пострадавших от TeslaCrypt. CryptXXX Ransomware обновился до 3-й версии, но разучился дешифровывать за собой файлы.

За прошедшее время дополнились русскоязычные описания следующих криптовымогателей: Bitmessage, Chimera, Crypt0L0cker, CrySiS, ECLR, Gomasom, Hi Buddy!, JobCrypter, PClock и PClock2, RemindMe.
Пик их распространения пришелся на домайское или даже доновогоднее время, но до сих пор встречаются пострадавшие от их атак.
На русском языке эти описания публикуются впервые.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (28 мая - 3 июня)

Новая неделя оказалась менее насыщенной на новые криптовымогатели, чем предыдущие, но всё же нам есть о чём рассказать.

К новым относятся криптовымогатели:
BlackShades Ransomware примечателен двуязычностью текста о выкупа, написанном на английском и русском языках. К зашифрованным файлам добавляется расширение .silent. Краткое описание функционала см. в статье выше.

JuicyLemon Ransomware примечателен тем, что зашифрованные файлы получают в код строку следующего вида: 1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F[/QUOTE]
К зашифрованным файлам добавляется расширение, включающее ID, по схеме: .id-[девять цифр]_
Шифруются только пользовательские данные. Также, как у Chimera и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

UltraCrypter Ransomware является по сути переработанной версией CryptXXX, потому почти идентичен. Распространяется через email-спам с вредоносным вложением или ссылками на заражённые веб-сайты с набором эксплойтов Angler. К зашифрованным файлам добавляется расширение .cryp1.

К получившим обновление относятся:
JobCrypter Ransomware вымогатели перенастраивают на другие страны;
CryptXXX Ransomware претерпел ребрендинг до UltraCrypter, но пока неизвестно, то ли это прогресс, то ли ответвление;
Jigsaw Ransomware новый вариант фона NSFW (т.е. неприличного содержания, в данном случае с топлесс натурой), к зашифрованным файлам добавляется новое расширение .paybtc;
TorrentLocker обзавелся новой версией, ориентированной на конкретную страну - Швецию.

За прошедшее время дополнились русскоязычные описания следующих криптовымогателей: 777 (Legion), LeChiffre, MireWare, Protected, Sanction, TorrentLocker, WonderCrypter (YouGotHacked)

Пик распространения этих криптовымогателей пришелся на предыдущее время, но пострадавшие ещё встречаются.
На русском языке эти описания публикуются впервые.

Описание вирусов: источник

 

[SNS-amigo]

Криптовымогательская неделя (4 - 10 июня)

К новым криптовымогателям относятся:
Herbst Ransomware нацелен на немецкоязычных пользователей. Он шифрует файлы с помощью AES-256, а затем требует выкуп в 0,1 биткоина за ключ дешифрования. К зашифрованным файлам добавляется расширение .herbst.

Russian EDA2 Ransomware нацелен на русскоязычных пользователей. Он шифрует файлы с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locked. Как ясно из названия, криптовымогатель собран на основе криптоконструктора EDA2.

Takahiro Locker Ransomware нацелен на японских пользователей, "нарушителей" использования файлов в Интернете, за что и требует с них аж 3 биткоина. Бедные японцы, страдают ни за что.

К получившим обновление относятся:
Jigsaw Ransomware снова обзавелся новыми вариантами, где меняется фоновое изображение и используется новое расширение для зашифрованных файлов. На этот раз их аж 7: .payms, .paymst, .pays, .paym, .paymrss, .payrms и .paymts

Crysis Ransomware обновился после нескольких месяцев "спячки", получив еще одну вариацию, еще один вид составного расширения для зашифрованных файлов и два новых адреса вымогателей. Примечательно, что ESET вдруг открыли для себя растущую угрозу семейства Crysis, тогда как Dr.Web сделали тоже самое ранее. Но, как верно заметили в ESET, семья Crysis начинает заполнять нишу, возникшую после закрытия проекта TeslaCrypt.

Nemucod Ransomware в новой версии использует PHP для шифрования файлов и добавляет к ним расширение .crypted. В результате чего Фабиану Восару пришлось обновить свой дешифровщик для Nemucod.

Как вы, наверное, знаете, после закрытия проекта TeslaCrypt, была создана утилита, которая дешифрует файлы, зашифрованные в TeslaCrypt 3.0-4.0. А для дешифровки более ранних версий файлов требовалась другая утилита TeslaDecoder.
Cisco's Talos Group выпустила свою всё-в-одном утилиту TeslaCrypt Decryption Tool, которая дешифрует файлы, зашифрованные в TeslaCrypt всех версий.

К курьёзам можно отнести:
Зарубежные коллеги обнаружили для себя дешифратор для CryFile, который давно работает у нас стараниями Thyrex.

За прошедшее время дополнились русскоязычные описания следующих криптовымогателей: CryFile, CryptFIle2, HydraCrypt , KEYHolder, Lortok, MM Locker, NanoLocker , UmbreCrypt

Пик распространения этих криптовымогателей пришелся на разное время, но пострадавшие ещё встречаются.
На русском языке эти описания публикуются впервые.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (11 - 17 июня), часть 1-я

К новым криптовымогателям относятся:

Apocalypse Ransomware ориентирован на англоязычных пользователей. Он шифрует файлы, а затем требует написать на почту вымогателей, которые называют выкуп в 1 биткоина за дешифровщик. К зашифрованным файлам добавляется расширение .encrypted.
Почта вымогателей находится на российском почтовом сервисе mail.ru. Вымогатели отвечают на русском и английском языке.

RAA Ransomware ориентирован на русскоязычных пользователей, потому и записка о выкупе полностью на русском языке. Он шифрует файлы с помощью AES-256, а затем требует выкуп в 0,39 биткоина (250 долларов) за дешифровку. Распространяется по email в виде вредоносных вложений, замаскированных под doc-файлы со случайными именами. На 100% написан на языке JavaScript. К зашифрованным файлам добавляется расширение .locked.


7h9r Ransomware шифрует файлы с помощью AES, а затем требует написать на почту вымогателей, которые называют выкуп в 100 долларов за дешифровщик. Зашифрованные файлы получают расширение .7h9r. Прослеживается связь с другими подобными вымогателями.

UCCU Ransomware шифрует файлы с помощью AES-шифрования, а затем требует выкуп в биткоинах. К зашифрованным файлам добавляется расширение .uccu. Исполняемый файл имеет нецензурное богохульное название.

DEDCryptor Ransomware ориентирован на русскоязычных и англоязычных пользователей. Потому и текст на двух языках. В изображении, устанавливающемся на обои рабочего стола, изображен злой Санта в красном колчачке, типа "злой дед-мороз зашифровал файлы". DEDCryptor шифрует только набор стандартных форматов документов, изображений и видео, которые имеют размер не больше 50 мегабайт. Основан на вымогательском криптонаборе EDA2. К зашифрованным файлам добавляется расширение .ded.


За прошедшее время в блоге дополнились русскоязычные описания следующих криптовымогателей: Cerber, CTB-Locker WEB, Negozl, ToxCrypt, XRTN

Но это еще не всё.
--- Окончание следует ---

Источник по описанию вирусов

 

[SNS-amigo]

Первая часть была написана мной еще вчера вечером, а сейчас то, что было написано позже Лоуренсом Абрамсом, и чего нет в моей статье.

Криптовымогательская неделя (11 - 17 июня), часть 2-я

К новым криптовымогателям относятся:

Crypt38 Ransomware ориентирован на русскоязычных пользователей. Он шифрует файлы с помощью AES-шифрования и добавляет к ним расширение .crypt38, а затем требует за дешифровку 1000 рублей, или 15 долларов США. Почта вымогателей regist3030@yandex.ru
Майкл Гиллеспи рассказал, как используя его генератор ключей, быстро и бесплатно вернуть файлы.

CryptoShocker Ransomware шифрует файлы с помощью AES-шифрования и требует биткоины на сумму 200 долларов за дешифровку. К зашифрованным файлам добавляется расширение .locked. На рабочем столе создается ярлык для перехода на сайт оплаты в сети Tor.

Dr. Jimbo Ransomware шифрует данные и присоединяет к ним расширение .encrypted. Для получения инструкций по оплате выкупа нужно написать на email вымогателя dr.jimbo@bk.ru.

К получившим обновление относятся:

CryptXXX Ransomware стал широко использовать новое расширение для файлов .cryptz. В остальном значительных изменений нет.

Jigsaw Ransomware традиционно с новой неделей получил новый фон, стилизованный под Anonymous и новое расширение .epic для зашифрованных файлов.


Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (18 - 24 июня)

К новым криптовымогателям относятся: NegozI, CryptoRoger, Kozy.Jozy, ZimbraCryptor, SecureCryptor, TowerWeb, KratosCrypt. Расскажем о них кратенько, со ссылкой на подробную информацию, которую удалось собрать.

Negozl Ransomware отличился только крупным выкупом в 5 биткоинов и расширением .evil для зашифрованных файлов.

CryptoRoger Ransomware "скромно" просил всего пол-биткоина за выкуп файлов, а расширение добавлял .crptrgr. Из фишек: связь с вымогателями по мессенжеру Tox и VBS-файл в автозагрузке.

Kozy.Jozy Ransomware ориентирован на русскоязычных пользователей и отличился использованием алгоритма RSA-2048 в шифровании файлов. Он использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. Зная толк в шифровальном извращении он ещё и расширение использует "нетрадиционное", типа .31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20.


ZimbraCryptor Ransomware несмотря на сумму в 3 биткоина за дешифровку, особо себя не проявил, т.к. пока известны только единичные случаи атаки на почтовые сервера Zimbra, от имени которого он и получил название. У зашифрованных файлов замечено расширение .crypto.

SecureCryptor Ransomware на поверку оказался разновидностью Apocalypse. Видимо его создателям не давал покоя тот факт, что очень уж быстро выпускаются декриптеры на их шифровальщики. Потому сделали новый. Сами вымогатели прикрываются почтовой службой Mail.ru, называются испанскими именами, используют анонимайзер, указывающий на испанские IP-адреса. Анализ кода выявил украинскоязычный след и нецензурную фразу, адресованную создателям декриптера - компании Emsisoft. Повторять её не будем. Уже известны 4 адреса на сервисе Mail.ru. И они еще там гнездятся? Неужели миллиарды управляющего концерна неспособны помочь выявить и навсегда нейтрализовать этих вымогателей?

TowerWeb Ransomware не стал заморачиваться на создание многочисленных записок о выкупе, а использовал тёмное изображение для рабочего стола, чтобы и попугать и проинформировать своих жертв. Как оказалось, платёжеспособных и охотоплатёжных жертв оказалось много, потому аппетит вымогателей возрос, и вместо первых 100 долларов сумма возросла до 125, что и отразилось в новом фоновом изображение с стиле хакеров-анонимусов.


KratosCrypt Ransomware оказался еще скромнее "полкопеешного" CryptoRoger и просил выкуп всего в 0.03 биткоина. В записке о выкупе, оформленной в HTML с разноцветным текстом, не поленился порекомнедовать лучшие места для "ловцов" биткоинов. Расширение, добавляемое к зашифрованным файлам, дали одноименное криптовымогателю — .kratos

К получившим обновление относятся:
Apocalypse изменился до ApocalypseVM, получив VMProtect для своей защиты, другие расширения для файлов — .encrypted и .locked, другие ключи шифрования и другие адреса разработчиков-вымогателей. См. также выше про SecureCryptor.
CryptXXX перешёл на рэндомное расширение, изменив ряд моментов, чтобы усложнить анализ.
Locky получил "новую кровь".
Jigsaw почему-то на этот раз не смог выпустить традиционную новонедельную версию. Картинку новую не нашли или расширение новое не придумали?

Источник

 

[SNS-amigo]

Криптовымогательская неделя (25 июня - 1 июля)

К новым криптовымогателям относятся: Bart, Satana, HiddenTear 2.0, MirCop, Windows10, AMBA, WildFire Locker, SZFLocker, Unlock92. Расскажем о них кратко, со ссылкой на подробную информацию, которую нам удалось собрать.

Bart Ransomware требует выкуп в 3 биткоина якобы за дешифровку. Вымогатель работает без подключения к C&C-серверу. Добавляемое к заблокированным файлам расширение .bart.zip. Для открытия зазипованных файлов bart.zip требуется ввести пароль. Платежный портал очень похож на тот, который используется Locky.

Satana Ransomware шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0,5 биткоинов за дешифровку. В отличие от других вымогателей, заменяет MBR на свой вредоносный загрузчик с бутлокером и выводит на экран вымогательский текст.

HiddenTear 2.0 Ransomware шифрует файлы с помощью AES со случайным именем. Основан на краткой версии оригинального Hidden Tear. Нацелен на небольшое количество папок, в которых шифрует файлы, и небольшое количество файловых расширений. Не обменивается данными с C&C-сервером. На рабочем столе создается файл-записка README.txt. Авторы HiddenTear 2.0 выговаривая пользователю предлагают ему найти файл с паролем и скачать декриптер. Но, их декриптер бесполезен, т.к. дешифрует только файлы с расширением .locked из оригинального HiddenTear, и не ищет файлы с расширением .isis, которое сам добавляет к файлам.
Некоторые исследователи поспешили назвать этот шифровальщик EduCrypt, типа "обучающий вымогатель", что само по себе абсурдно, т.к. фразу "Не качай всякое дерьмо из Интернета" назвать обучающей никак нельзя.

MirCop (MicroCop) шифрует файлы с помощью DES-шифрования, а затем требует вернуть якобы украденные 48,48 биткоинов. На самом деле банально вымогает выкуп, не указав даже контактов для связи. К зашифрованным файлам добавляется не расширение, а приставка Lock. Использует вредоносные макросы, вредоносный сайт и устаналивает похититель паролей.

Windows10 Ransomware оказался новой итерацией нашумевшего криптовымогателя Shade. Та же порча файлов, та же записка о выкупе, те же манеры и фичи. Только расширение теперь другое — .windows10 . Зашифрованный файл теперь выглядит примерно так:
[Случайный-набор-букв-цифр-символов-вместо-реального имени-файла][.ID_жертвы].windows10

AMBA Ransomware шифрует файлы, находящиеся на веб-сайтах. Зашифрованными оказываются все файлы во всех директориях сайта, а к
ним добавляется расширение .AMBA . Более ранние версии вредоноса для серверов с другими записками о выкупе известны с 2013 года. К
зашифрованным файлам тогда добавлялось расширение .amba (с маленькими буквами).

WildFire Locker шифрует файлы с помощью AES-256 (CBC режим), а затем требует выкуп в $/€ 299. Использует txt-, html-,
bmp-записки о выкупе, чтобы поскорее выманить у жертвы плату за дешифровку. К файлам добавляется расширение .wflx

SZFLocker ориентирован только на польскоязычных пользователей. Краткая записка, добавляемое расширение .szf . Ничего интересного.

Unlock92 не заморачивается с текстовыми запискам, а ставит свои обои, где все написано на русском языке. К файлам добавляется расширение .CRRRT .

К получившим обновление относится:
Locky Ransomware начал использовать новое расширение .zepto, и обзавелся новым шаблоном названия записки о выкупе. Подробнее в теме про Locky. Но вполне возможно, что это новая итерация в лице Zepto Ransomware. Данный вопрос исследуется.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (2 июля - 8 июля)

К новым криптовымогателям относятся: Alfa, BitStak, CryptoFinancial, PizzaCrypts, Zepto. Расскажем о них кратко, со ссылкой на подробную информацию, которую нам удалось собрать.

Alfa Ransomware по какому-то недоразумению использует два различных альфа-имени - Alpha Ransomware (в записке) и Alfa Decryptor (на сайте TOR). Alfa Decryptor имеет логотип, что говорит в пользу использования названия Alfa. Этот факт и стал решающим в составлении описания, чтобы не путать Alfa и Alpha с другими альфами - AlphaCrypter и AlphaLocker. Alfa требует выкуп в 1-1,5 BTC. Зашифрованные файлы получают расширение .bin. Имя файла меняется на рэндомное, состоящее из английских букв, цифр и знаков. Есть предположение, что Alfa является новым детищем дэвелоперов Cerber.

BitStak Ransomware требует выкуп в 0,07867 BTC. Зашифрованные файлы получают расширение .bitstak и переименовываются на рэндомное имя. Папки тоже переименовываются и получают это расширение. Вместо текстовой записки используется изображение-скринлок, на котором кроме текста о выкупе есть QR-код для мобильных устройств.

CryptoFinancial Ransomware якобы шифрует данные и убирает в скрытый раздел. Но на самом деле файлы просто уничтожаются. За "дешифровку" внаглую требуют 0,2 биткоина. Пострадавшие, желающие заплатить выкуп, останутся и без файлов и без денег.

PizzaCrypts Ransomware отличился только своеобразным шаблоном расширения для зашифрованных файлов .id-[victim_id]-maestro@pizzacrypts.info. Пицца без изюминки — просто тесто.

Zepto Ransomware был в блоге выделен и описан как отдельный криптовымогатель некоторыми исследователями независимо друг от друга. Мы ранее также предположили такой расклад, ничего не зная об этих исследованиях. Слишком много различий позволяет говорить о Zepto не как о новой версии Locky, а как о его приемнике, выполненным также профессионально, как и его "прародитель".

К получившим обновления относятся:
Apocalypse обзавелся новым расширением для зашифрованных файлов .bleepYourFiles и новой запиской .Where_my_files.txt
Фабиан Восар ответил дэвам-вымогателям обновлением своего декриптора {Недельный бадхёрт апокалипсянам обеспечен!}.
CryptXXX обзавелся новой версией шифровальщика, непереименовывающей файлы и... опять же нерабочим декриптором.
Xorist был замечен в подмене вымогательских записок с целью запугать своих жертв и затруднить восстановление файлов.
PadCrypt вернулся, но что-то без существенных изменений. Как он был недоработанным вредоносом, так таковым остался.
Unlock92 обзавелся новым расширением .CCCRRRPPP и новым скринлоком ORID.jpg.

За прошедшее время обновились русскоязычные описания следующих криптовымогателей: Kriptovor, Neitrino, Fakben Team

Пик распространения этих криптовымогателей пришелся на разное время, но пострадавшие ещё встречаются, особенно от Neitrino.
На русском языке эти описания публикуются впервые.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (9 июля - 15 июля)

Похоже, что дэвы вымогателей берут перерыв на лето, т.к. поток новых вымогателей заметно иссяк.

В новой версии Unlock92 2.0 перешел на шифрование с помощью RSA-2048. О новом скринлоке и новом расширении было сообщено еще неделю назад (см. пост выше).

Новый вымогатель CTB-Faker, судя по скринлоку, прикидывается шифровальщиком CTB-Loker-ом и требует выкуп 0.08 BTC, но на самом деле ничего не шифрует, а всего лишь помещает файлы в архив с паролем. Из-за своей фальшивости он и получил название CTB-Faker и добавился в список фейк-вымогателей.


ODCODC наконец-то стал дешифруем, дополнительная информация в топике поддержки. Уже есть положительные результаты дешифровки.

Xorist-вымогатель стал подражать вымогателю Cerber, добавляя расширение .cerber к зашифрованным файлам и используя измененную записку о выкупе.

WildFire Locker получил резкий рост распространения благодаря активности ботнета Kelihos. Способа дешифровки файлов пока нет.

Новый вымогатель Stampado стал продаваться в дарк-вебе за 39 долларов. Файлы шифруются с помощью AES-256 с уникальным ID машины, а к файлам добавляется расширение .locked

Произошла неожиданная раздача бесплатных ключей дешифрования для некоторых вариантов CryptXXX, таких как .Crypz и Cryp1, но некоторые люди смогли получить ключи и для других версий.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей
---
Подробная информация уже была опубликована в этом разделе "Вирусы-шифровальщики" и блоге "Шифровальщики-вымогатели".

 

[SNS-amigo]

Криптовымогательская неделя (16 июля - 22 июля)

Это была в целом хорошая неделя для хороших парней, которые неутомимо работают, находят и исследуют новые образцы вредоносного и вымогательского ПО.

За прошеднее время были обнаружены и описаны новые крипто-вымогатели:
HolyCrypt Ransomware, написанный на Python, да ещё и 64-битный;
Cute Ransomware, основанный на китайском ПО my-Little-Ransomware;
CrypMIC Ransomware, подражающий своему предшественнику CryptXXX;
PowerLocky, новый вариант Powerware, по-своему подражающий Locky;
PayForNature, не оставляющий никакой записки с требованием выкупа.

Stampado Ransomware, упомянутый на прошлой неделе, наконец обзавёлся покупателями.
Petya, шифрующий диски, получил версию без ошибки, ранее ослаблявшей его шифрование.

Были выпущены декрипторы для вымогателей: Bart, ODCODC, Powerware, PowerLocky, Stampado.

Сразу несколько новостей по крипто-вымогателю CryptXXX были опубликованы в его теме (новые версии, способы распространения и переименования зашифрованных файлов).

За прошедшее время в блоге "Шифровальщики-вымогатели" были обновлены ранее опубликованные и составлены новые русскоязычные описания следующих криптовымогателей: BandarChor, Paycrypt, PayForNature, PowerLocky.


На русском языке эти описания публикуются впервые.
Если исследователи антивирусных компаний и malware-аналитики предоставят по ним дополнительные сведения, которых у нас ещё нет, то мы их опубликуем.

Источник

 

[SNS-amigo]

Криптовымогательская неделя (23 июля - 31 июля)

На этот раз неделя у нас большая. События этой недели были освещены мною полностью. Самые важные были описаны здесь в SZ, остальные в блоге "Шифровальщики-вымогатели" (далее Ш-В). Там же добавлен алфавитный указатель для облегчения навигации и поиска описаний вымогателей.


Среди итальянских пользователей засветился криптовымогатель с названием CryptoWall 5.1, основанный на конструкторе HiddenTear. К файлам добавляет расширение .locked (стандартное для HT). Кроме присвоенного громкого имени и 250 € за дешифровку, шороха много не наделал. Описан в Ш-В.

Появился приемник Bitmessage (Ungluk) криптовымогатель Moth, который к файлам добавляет расширение .m0th. Распространяется известными способами: через email-спам, вредоносные вложения (скрипты, макросы), эксплойты на зараженных сайтах. Требует установки BitMessage. См. описание в Ш-В.

Дэвы Petya+Misha в мае запустили тестирование своего проекта RaaS, который прошёл закрытое тестирование среди партнеров. Теперь проект запущен и любой потенциальный преступник может стать официальным дистрибьютором Petya+Misha RaaS. Решение они назвали Janus Cibercrime.

Дэвы Petya+Misha признались, что получили доступ к архиву проекта Chimera, использовали его код для улучшения своих вымогателей, выложили 3500 ключей дешифрования в открытый доступ, чтобы аверы могли создать декриптеры для возврата файлов, пострадавших от проекта Chimera.

Несколько разработчиков выпустили декриптеры для зашифрованных Chimera файлов, среди них ЛК и Восар из Emsisoft. Ссылка на утилиту ЛК уже есть в специальной теме. Используется всего 3500 ключей дешифрования, если пострадавших было больше, то кто-то всё же останется без дешифровки.

TrendMicro обнаружили новое семейство вымогателя CrypMIC, по некоторым признакам очень похожее на семейство CryptXXX. Исследователи расписали по пунктам похожести и различия. Желающие могут ознакомиться с ними в оригинале на английском и в дополненной мною статье.

Якуб Кроустек и Майкл Гиллеспи обнаружили несложный криптовымогатель Simple_Encoder, который шифрует данные с помощью AES, а затем добавляет знак ~ как расширение к зашифрованным файлам. По собранным данным, а их пока мало, я составил описание этого вымогателя в блоге Ш-В.

Якуб Кроустек обнаружил Jager Ransomware, который ещё не успел получить большого распространения, т.к. его C2-сервер был успешно отключен. Ключ AES шифруется с RSA и добавляется к концу файла вместе c другой информацией. У зашифрованных файлов в первых 4 байтах "! ENC". См. в Ш-В.

Также Кроустек обнаружил ещё один плохо написанный вымогатель NoobCrypt. Корявость обнаруживается во всём, хоть в коде, хоть в оформлении записки о выкупе. На видном месте надпись, указывающая на румынское происхождение вредоноса. Кроустек нашел и код дешифрования. См. в Ш-В.

Майкл Гиллеспи тем временем обнаружил Uyari Ransomare, называющий себя CryptoLocker-ом, но ориентированный только на турецких пользователей. Этот вымогатель основан на проекте HiddenTear. Со своих сограждан вымогатели требуют 2 биткоина. Описание и перевод с турецкого см. в блоге Ш-В.

Майкл Гиллеспи также обнаружил новый вариант эпатажного криптовымогателя Jigsaw, который регулярно меняет свое оформление, изображение и расширение у зашифрованных файлов, но отличается завидным постоянством в шифровании. Это позволяет Майклу оперативно обновлять декриптор.

Еще один новый криптовымогатель Rush Ransomware, как и турецкий, требует 2 биткоина за дешифровку файлов. Особой оригинальностью не отличается, кроме того, что даёт ссылки, ранее указанные в Negozl Ransomware. Тексты записок о выкупе различаются. Описание составлено в блоге Ш-В.

Реконструировано в Ш-В для справочных и сравнительных целей описание криптовымогателя CryptInfinite (DecryptorMax), его активность была в ноябре-декабре 2015. К зашифрованным файлам он добавлял расширение .crinf, а за выкуп просил $500 с ваучера PayPal MyCash. Добавлен в IDR.

И, наконец, криптовымогатель R980 Ransomware, который к зашифрованным файлам добавляет расширение .crypt, а за дешифровку требует выкуп в 0.5 биткоинов. Примечателен тем, что для пересылки декриптера своим жертвам вымогатели используют почтовый сервис mailinator.com. См. в Ш-В.

Источник полных описаний: Шифровальщики-вымогатели: Список вымогателей

Спойлер: Статья Абрамса, частично использованная

The Week in Ransomware - July 29 2016 - Petya, NoMoreRansom, Chimera, and More!

И в заключение... Международный проект "No More Ransom" объединил Лабораторию Касперского, Intel Security, Европол и полицию Нидерландов в борьбе против программ-вымогателей, их создателей и распространителей вредоносного ПО.

 

[SNS-amigo]

Криптовымогательская неделя (1 — 7 августа)

Прошедшая неделя не была щедра на шифровальщиков. Оно и к лучшему.

Zepto-Locky стал распространяться через WSF-вложения, что делает его еще более опасным при неосторожном открытии.

ShinoLocker был выпущен как инструмент изучения работы криптовымогателей без особого риска потерять свои файлы.

Cerber v.2 продолжил свою вредоносную деятельность с новой доработанной версией. Обнаружен и исследован компанией Trend Micro и рядом исследователей из других компаний.

Razy Ransomware не получил распространения, но был замечен и изучен исследователями. И хорошо, что не распространялся, т.к. нет никаких шансов дешифровать то, что было бы этим зашифровано. В будущем новая версия вполне может оказаться более опасной и менее уловимой. Описан в блоге Ш-В, если кому интересно.



Venus Locker распространился сразу в двух вариациях. Одна добавляет к зашифрованным файлам расширение .Venusf, а другая — .Venusp. У одной в коде прописаны целевые расширения в количестве 228 шт., а у другой - 510 шт. Основан на EDA2. Примечателен тем, что предложил, как второй вариант, проводить оплату в биткоинах через Perfect Money. Скринлок сделан в стиле Anonymous.

Было поймано еще с десяток шифровальщиков с новыми расширениями (например, .aaalllaaa, .blocked, .zonfir и пр.), оказавшихся новыми вариациями уже описанных. Потому пока о них не будем. Подождем рыбы покрупнее и понаваристей.

Видимо стоит упомянуть, что дэвы Apocalypse Ransomware, 2 раза в месяц что-то меняющие в своем "детище", опять поменяли расширения у зашифрованных файлов на .Encryptedfile, и опять зашили в коде новой версии матерные фразы в адрес Фабиана Восара. За что и получили очередной интеллигентный ответ Фабиана — его декриптер снова обновлён.

Тема "Анализ и демонстрация атаки Ransomware" пополнилась новыми видеороликами, в которых показаны некоторые аспекты и нюансы ряда известных и малоизвестных вымогателей, в том числе Razy, Rush, Cerber v.2.

Источник

 

[SNS-amigo]

Криптовымогательская неделя (8-14 августа)

Hitler Ransomware требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы. Использует экран блокировки, отображающий Гитлера, на котором есть короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа требуется ввод кода с предоплаченной на €25 карты Vodafone. Имеется кнопка "Decrypt" для дешифровки файлов. Шифрование файлов вообще не производится, зато удаляются расширения у всех файлов в пользовательских директориях. Через 1 час без уплаты выкупа ПК выпадает в BSOD, чтобы жертва перезагрузила ПК. При перезагрузке Hitler удалит все файлы в директории пользователя %USERPROFILE%. Дэв сам указал в коде, что это ещё тестовый вариант вымогателя.

RektLocker Ransomware основан на исходном коде HiddenTear, потому шифрование производится с помощью AES, а не с помощью мнимого 2048-битного шифрования, алгоритм которого даже не указан в тексте на обоях. Вымогаемый выкуп 1 BTC. К зашифрованным файлам добавляется расширение .rekt. Целевыми являются 97 типов файлов. Вымогатели, запустившие этот вредонос, не указали никакого способа связи с ними после уплаты выкупа, потому что дешифровка ими и не планировалась. Кто переведёт деньги, потеряет и деньги, и данные. Теневые копии файлов REKTLocker не удаляет, поэтому их можно использовать для восстановления части данных.

Smrss32 Ransomware называет себя CryptoWall Software, но это обман. Шифрование производится с помощью AES. Вымогаемый выкуп 1 BTC. К зашифрованным файлам добавляется расширение .encrypted. Целевыми в раннем варианте были 233 расширения, в более позднем их оказалось 6674. На поверку дэвы надобавляли в список дублей в верхнем и нижнем регистре. Но и без дублей список из ~3300 расширений наибольший за все время развития криптовымогателей. Устанавливается Smrss32 вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Для этого атакующие используют устаревшие версии программ для удаленного доступа.

PokemonGo Ransomware основан на исходном коде HiddenTear, потому шифрование производится с помощью AES. К зашифрованным файлам добавляется расширение .locked. Целями являются 25 типов популярных файлов документов. Сумма выкупа не указана. Для связи даётся некий email. Ориентирован на арабских пользователей. Название дано от популярной игры для мобильных устройств. Добавляется в Автозагрузку, чтобы потом отображать заставку с покемоном Пикачу и другую записку о выкупе на арабском языке. Пытается копировать исполняемый файл для все съёмные диски, для чего использует файл Autorun.inf. Имеет и другой функционал, частью ещё не реализованный.

Выпущен новый дешифровщик для файлов, зашифрованных криптовымогателями Juicylemon и PizzaCrypt Ransomware. Информация размещена в специальной теме.

Источник описаний: Шифровальщики-вымогатели: Список вымогателей

 

[SNS-amigo]

Криптовымогательская неделя (15-21 августа)

PokemonGo Ransomware, описанный на прошлой неделе, был создан для арабоязычных пользователей, но он наглядно показал, что вымогатели шагают в ногу со временем и пользуются информационными новинками, и популярными гаджетами для своей выгоды.

Следом за ним появился DetoxCrypto Ransomware, который в одном варианте прикидывается PokemonGo и выводит требования выкупа на фоне изображения покемона. Во втором уже другое изображение, другая почта и музыка. Исполняемые файлы: Pokemon.exe и Calipso.exe.

Purge Ransomware шифрует данные с помощью AES-256 и предлагает связаться с вымогателями с помощью почтового сервиса tutanota.com или через сервис Bitmessage. Из особенностей: вымогателями используется HTA-записка "How to restore files.hta".

XRat Ransomware создан для португалоязычных пользователей. Выпущен некой командой Team XRat. Шифрует данные с помощью XOR и предлагает связаться с вымогателями по email. Использует картинку с пятью масками Anonymous, ставшую популярной среди вымогателей.

Korean Ransomware создан для корейских пользователей, даже расширение у зашифрованных файлов написано на корейском. Основан на Hidden Tear. Примечателен оригинальными изображениями и схожестью сайта сервиса дешифровки с тем, что имеется у CrypMIC.

FSociety Ransomware создан буквально на коленке фаном американского телесериала "Mr. Robot". Основан на EDA2, потому для шифрования используется AES и расширение .locked. Записок о выкупе нет. После шифрования на экран выводится логотип FSociety.

Shark Ransomware даёт возможность потенциальным преступникам создавать своих вымогателей, настраиваемых без навыков в программировании и криптографии. Запущен как вымогательская бизнес-модель RaaS. Описан мною в разделе "Вирусы-шифровальщики".

Czech Ransomware был найден и изучен Якубом Кроустеком. В тексте вымогателей говорится о шифровании с AES-256, но это не так. Требуется выкуп в 200 крон с карты Paysafe. По некоторым признакам специалист заключил, что это тестовый выриант вымогателя.

Bart Ransomware в новой версии отказался от блокировки файлов своих жертв и сохранения в защищенных паролем ZIP-файлах (.bart.zip). Они теперь на самом деле шифруют файлы и используют расширение .bart для зашифрованных. К сожалению, образец пока не получен.

Майкл Гиллеспи и BloodDolly сделали декриптер для Smrss32 Ransomware. Уже подтверждены успешные дешифровки файлов. Дешифровка файлов с использованием этого декриптера предельно проста и не нуждается в какой-либо специальной инструкции.

Check Point выпустила дешифратор для Cerber Ransomware v.1 и 2. Но предупредила, что вскоре дэвы Cerber-а могут закрыть лазейку, использованную специалистами Check Point (есть уязвимость на C&C-сервере вымогателей). Но дэвы Cerber-а не закрыли уязвимость, а ввели капчу с нарисованными мордашками для входа на платежный сайт Cerber, чтобы уберечься от автоматизированного сервиса Check Point. Вполне вероятно, что вскоре появится новая версия Cerber Ransomware, где уязвимость будет устранена.

Источник: Шифровальщики-вымогатели: Список вымогателей с описаниями

 

[SNS-amigo]

Криптовымогательская неделя (21-28 августа)

После месяца относительного затишья вредоносы как ползучие гады снова вылезли на поверхность. Все чаще стали появляться вымогатели, локализованные для других стран Европы и Азии. Появился даже криптовымогатель для Linux-серверов.

Alma Locker Ransomware, распространяемый через набор эксплойтов RIG, был описан ранее.

Fantom Ransomware, сумевший выдать себя за экран обновления Windows, был описан ранее.

DetoxCrypto Ransomware, кажется, обзавелся третьим вариантом или вымогатели разделились.

Zepto-Locky в одной из кампаний, отказавшись от exe-файла для своей установки, перешел к активному использованию DLL. Остаются на вооружении и JS-вложения, которые при запуске загружают зашифрованную версию исполняемого файла, дешифруемую в DLL-файл.

Domino Ransomware отличился методом распространения — через модифицированный пакет установщика KMSpico, под прикрытием установки которого в системе проводилось шифрование данных. В конце текста записки о выкупе была пририсована корова в ASCII.

Purge Ransomware, был описан мной еще 10 дней назад, но в другом исследовании получил имя Globe и наше описание дополнились рядом новых фактов, в числе которых сведения о целевых 995-ти расширениях и эпатажная картинка на обоях из американского кинотриллера.

Международный проект "No More Ransom" ознаменовал свою работу еще одной победой над киберкриминалом. В результате чего удалось захватить контроль над одним из серверов WildFire Locker и восстановить 5800 ключей дешифрования для пострадавших систем.

Источник: Шифровальщики-вымогатели

 

[SNS-amigo]

Криптовымогательская неделя (29 августа - 4 сентября)

К новым вымогателям относятся...

FairWare Ransomware ориентирован на пользователей Linux, при которой злоумышленники взламывают Linux сервер, удаляют корневую веб-папку, а затем требуют 2 BTC за возврат файлов. Вымогатели оставляют записку с требованием выкупа в корневой папке. Они вообще не шифруют файлы, а если и сохраняют какие-то файлы, то загружают их под контроль на свой сервер. Сразу несколько исследователей безопасности сообщили о разных случаях такой компрометации, потому очень похоже на тендецию.

DetoxCrypto Ransomware продолжают клонировать и размножать в разных вариациях. Чуть ранее был Serpico Ransomware, написанный на хорватском языке. В последних числах августа засветился NullByte Ransomware, который добавляет расширение _nullbyte (без точки) к зашифрованным файлам. Он продолжает покемономанию и притворяется программой для накрутки очков в PokemonGo. Сделать у нему декриптер для составило труда уже известному нашим читателям Майклу Гиллеспи. Среди криптовымогателй это не первый случай использования расширения без точки, на форуме есть стародавний от 2014 года случай с расширением _crypt.

Central Security Treatment Organization Ransomware. Это довольно длинное название поддельной организации отображается на сайте оплаты выкупа, требуемого вымогателями. К имени зашифрованного файла добавляется расширение .cry. Записка о выкупе имеет довольно оригинальное название !Recovery_[random_chars].html. Возможно, что более подробная информация о Central Security скоро будет опубликована в отдельной статье.

К получившим обновление вымогателям относятся...

Cerber2 Ransomware обновился до Cerber3, оставшись с тем же функционалом и RaaR, но для наглядности стал добавлять к зашифрованным файлам расширение .cerber3. Будет отдельная статья, если кто-то из уважаемых Лабов достаточно его изучит.

RAA Ransomware обзавелся новой запиской о выкупе, почтой, BTC-адресом, специальным KEY-файлом и рядом мелочей, которые, видимо, очень важны только для самих вымогателей.

Petya+Misha в рамках проекта RaaS получает всё больше распространения, что касается разных стран и методов распространения. Это широко отражено в детектах антивирусов.

Stampado Ransomware, который я представил еще в середине июля, обзавелся новой версией, изменяющей имена у зашифрованных файлов на длинное hex-значение. Например, если раньше это было всего лишь [original_file_name].locked, то теперь это будет
491ED67858BF44A7514B16F7EDD294833945A913D6D649CA.locked.

К курьезным случаям относятся...

Разработчики-вымогатели Apocalypse Ransomware изменили внутреннее имя своей проги на Fabiansomware. Напоминаем, что Фабиан Восар из Emsisoft при каждом обновлении этого вымогателя вносил в свой декриптер изменения, позволявшие жертвам дешифровывать файлы, пострадавшие от атаки новой версии. Дэвы Apocalypse в ярости патчили своё детище и вносили в него оскорбительные слова (это не только англоязычный текст, но и откровенная русскоязычная матерщина, написанная английскими буквами). Один раз "удостоился" подобной персональной матерщинной фразой в коде новой версии и один из его приятелей, поддержавший Фабиана в Твиттере. Фабиан поделился с ним скриншотом нового кода с "русским матом", предложив в твиттере и другим "обзавестись" подобным "шедевром" из рук самих апокалипсян. Приятель передал им через Фабиана пожелание "Купить бочку вазелина для новых версий". Затем, видимо исчерпав словарный запас, дэвы Apocalypse умолкли и стали мстить иначе. Сначала придумали email с именем Восара и заменили им контакт в записке о выкупе, а затем, зная, что Фабиан всё равно просматривает весь код их "детища", заменили в коде названия своего "детища" на Fabiansomware, чтобы еще раз оскорбить его.


Все новости по новым вымогателям см. в статье "Шифровальщики-вымогатели за август"

 

[SNS-amigo]

Криптовымогательская неделя (5-11 сентября)

CryLocker Ransomware (CSTO, Central Security, Cry) отличился заявлением от фальшивой организации и нефиксированным выкупом, который может быть повышен вымогателями в зависимости от количества и важности зашифрованных данных своих жертв.

CryPy Ransomware, написанный на Python, добавляет к зашифрованным файлам короткое расширение, но файлы получают несуразно длинное имя, например: CRYJHL59FH8A289HO2S0LHT69FKFD2A282HFHD5VI9IAKIHJES22IT82KG4P88ULW0GT4H.cry
Когда файлы уже зашифрованы, их оригинальные имена передаются на C&C-сервер, отвечающий с новыми именами и ключом для шифрования.

Flyper Ransomware создан на базе HiddenTear, потому вскоре может быть дешифрован. К зашифрованным файлам добавляется расширение .flyper или .locked, в зависимости от распространяемой версии.

KawaiiLocker Ransomware для русскоязычных пользователей был выловлен и изучен Thyrex-ом. Затем он сделал дешифровщик. Работа была замечена и описана на форуме BleepingComputer, в том числе в "The Week in Ransomware - September 9th 2016".

N1N1N1 Ransomware отличился тем, что добавляет в код зашифрованных файлов метку в виде определённого кода - n1n1n1 или bcbdbe. Информация есть только в блоге "ШВ" и в "интересах следствия" пока раскрыта только в самых общих чертах.

Philadelphia Ransomware является приемником Stampado, т.к. был создан тем же дэвом. Засветился пока только на желании владельца хорошо продать его как RaaS. Судя по отчёту, уже нашлись покупатели в разных странах мира, гл. образом в США и Латинской Америке.

RansomCuck Ransomware добавляет к зашифрованным файлам расширение .cuck или .ransomcuck. Подробностей мало, ждем развития сюжета.

RarVault Ransomware нацелен, главным образом, на русскоязычных пользователей. RarVault перемещает файлы в Rar-архив с паролем, создав его в корне каждого диска — X:\RarVault\Arh_.rar. Информация также выложена на сайте, созданном на сервисе для бесплатных сайтов.

Zepto-Locky Ransomware получил внедрённый RSA-ключ и больше не взаимодействует с C2 серверами для проведения шифрования.

Noob Ransomware, найденный Якубом Кроустеком и описанный мной в июле, пока особо не модернизировался, но поменял ключ дешифрования.

Снова поднял голову Crysis Ransomware, на этот раз "озабоченный" судьбой бездомных. Зашифрованные им файлы получают составное расширение по образцу original_name.jpg.id-5492B6BC.(helphomeless@india.com).crypt.


Было выявлено ещё несколько криптовымогателей, среди них также фейк и scareware, но из-за отсутствия подробного исследования описание их ещё не закончено и раскрытие информация пройдёт позже.

Источник информации: Шифровальщики-вымогатели сентября.
PS. Некоторые из названных выше вымогателей пока лишь в черновиках.

 

[SNS-amigo]

Криптовымогательская неделя (12-18 сентября)

LockLock Ransomware (основан на EDA2) шифрует файлы с AES-256 и добавляет расширение ".locklock" к зашифрованным файлам. Для связи с вымогателями предлагается email-адресс и ник в Skype, последнее само по себе редкое явление. Большинство жертв оказались с китайскими IP-адресами. См. видеоролик в специальной теме.

MalwareHunterTeam открыли новый вариант Razy Ransomware, который шифрует файлы, а затем требует 10 евро с PaySafeCard в качестве оплаты выкупа. Этот вариант использует записку о выкупе, похожую на Jigsaw Ransomware, но не удаляет файлы.

MalwareHunterTeam открыли новый вариант Fantom Ransomware, который получил новые функции: автономное шифрование, общий сетевой ресурс нумерации и шифрования, другие значения выкупа и платежные адреса, создаваемые на основе имени файла.


Shark Ransomware/RaaS претерпел ребрендинг, переименовавшись в Atom Ransomware/RaaS.
Об этом было рассказано в его теме. Желающие могут обратиться туда.

Stampado Ransomware претерпел обновление, к котором дэв в красках похвастался обновлениями, бесплатными для старых клиентов, и в нескольких предложениях рассказал о достижениях, в том числе о том, что ему удалось защититься от декриптора Фабиана Восара из Emsisoft. Впрочем, ненадолго, т.к. Фабиан ан следующий день уже обновил свой декриптер. После чего стампадошник, пойдя по пути апокалипсян, начал внутрикодовую нелестную переписку с Фабианом.

С выходом этой новой версии Stampado Ransomware добавилось в список множество целевых расширений, даже такие, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Например:
.aaa, .bin, .breaking_bad, .btc, .ccc, .cerber, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .enciphered, .encrypt, .encrypted,
.enigma, .lechiffre, .legion, .locky, .magic, .micro, .odcodc, .payms, .rokku, .surprise, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие.
По моим подсчетам, всего более 70 расширений от других вымогателей. Также включены файлы бэкапов известных программ для резервного копирования.


TrendMicro наконец удалось распотрошить и исследовать HDDCryptor Ransomware с функционалом перезаписи MBR, которые не давал шансов своим жертвам с января 2016 года. Среди пострадавших жители разных стран обоих полушарий Земли. Впору говорить, вслед за TrendMicro, о выявлении новой вымогательской семьи. На протяжении года этот шифровальщик несколько раз изменялся, меняя и надпись и на экране и сумму выкупа и дополнительную записку о выкупе. HDDCryptor нацелен не только на общие сетевые ресурсы, такие как диски, папки, файлы, принтеры и последовательные порты, Server Message Block (SMB), но и блокируют привод. Вымогатель устанавливается путем дроппирования нескольких компонентов, легитимных и вредоносных, в корневой папке системы. Среди летитимных утилит, участвующих в процессе шифрования, DiskCryptor и Netpass.

Среди обнаруженных криптовымогателей, есть те, что идентифицируются сервисом IDR, и такие, что в него еще не попали. Все они описаны в блоге ШВ в том объеме, в котором имеется информация на данный момент. Среди них: CryptoCat, Nightmare, Black Feather и другие, о которых еще предстоит рассказать...

Источник информации: Шифровальщики-вымогатели сентября.
Все описания и статьи на русском языке опубликованы впервые в Интернете.

Избегайте попадаться на публикации и ресурсы шпионов Enigma Software и Spy-Hunter, использующих вирусный маркетинг на английском, русском и других языках, под видом помощи от вирусов и шифровальщиков.