Locky Ransomware возвращается с вариантом *.Diablo6
Through a large malspam campaign, Locky is back and currently being heavily distributed worldwide. While Locky was at one point considered the largest distributed ransomware, over time it became much more common to see other ransomware such as Cerber, Spora, and now even GlobeImposter. While it is too soon to tell if this is just another brief surge or an attempt to become a large player again, what we do know is that this particular campaign is strong with a wide distribution.
Благодаря активной кампании с майл-спамом, Locky вернулся и в настоящее время широко распространен во всем мире. Ранее Locky считался наиболее распространенным шифратором, но со временем стали намного чаще встречаться другие вымогатели, такие как Cerber, Spora, и теперь даже GlobeImposter. Пока еще слишком рано говорить, что это: еще один краткий всплеск или попытка снова стать крупным игроком, но мы знаем, что эта кампания сильна сейчас в связи с широким распространением.
Эти письма имеют прикрепленный файл ZIP, который использует то же имя, что и строка темы, в которой содержится сценарий загрузчика VBS. Этот скрипт будет содержать один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky rsomware в папку% Temp%, а затем выполнить его.
Locky Ransomware switches to the Lukitus extension for Encrypted Files
Today a new Locky Ransomware variant was discovered by Rommel Joven that switches to the .lukitus extension for encrypted files. It is important to note that if you are infected with this ransomware, you are not infected with the Lukitus Ransomware, as some sites may call it. You are instead infected by Locky, which is using the .lukitus extension. There is a difference.
According to Derek Knight, this variant is currently being distributed via spam emails that have subject lines of < No Subject > or Emailing - CSI-034183_MB_S_7727518b6bab2, which contain zip or rar attachments with JS files. When these JS files are executed, they will download the Locky executable from a remote site.
Сегодня Rommel Joven открыл новый вариант Locky Ransomware, который переключается на расширение .lukitus для зашифрованных файлов. Важно отметить, что если вы заражены этим вымогательством, вы не заражены Lukitus Ransomware, как это могут назвать некоторые сайты. Вместо этого вы инфицированы Locky, который использует расширение .lukitus. Есть разница.
По словам Дерека Найт, этот вариант в настоящее время распространяется через электронные письма со спамом, в которых есть темы <No Subject> или Emailing - CSI-034183_MB_S_7727518b6bab2, которые содержат вложения zip или rar с файлами JS. Когда эти JS-файлы будут выполнены, они будут загружать исполняемый файл Locky с удаленного сайта. bleepingcomputer.comhybrid-analysis.com
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Crysis вернулся с новым вариантом шифрования *.cesar.
на сегодня уже известно несколько электронных почт, которые используют злоумышленники для обратной связи с пострадавшими пользователями:
распространители шифратора Spora применяют метод ( с внедрением вредоносного исполняемого объекта (в данном случае кодированный скрипт wsf, который загружает из сети исполняемый шифратор) в офисный документ), который ранее был использован распространителями VAULT.
примечательно, что только ESET определил файл шифратора как Spora.
Yesterday, ID-Ransomware's Michael Gillespie discovered a new variant of the Crysis/Dharma ransomware that is appending the .arena extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Crysis was typically spread by hacking into Remote Desktop Services and manually installing the ransomware.
When this ransomware is installed, it will scan the computer for certain file types and encrypt them. When encrypting a file it will append an extension in the format of
.id-[id].[e-mail].arena.
For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].arena.
Вчера Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware.
Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .arena.
How to protect yourself from the Crysis Ransomware
In order to protect yourself from Crysis, or from any ransomware, it is important that you use good computing habits and security software. First and foremost, you should always have a reliable and tested backup of your data that can be restored in the case of an emergency, such as a ransomware attack.
You should also have security software that contains behavioral detections such as Emsisoft Anti-Malware or Malwarebytes.
Last, but not least, make sure you practice the following good online security habits, which in many cases are the most important steps of all:
Backup, Backup, Backup!
Do not open attachments if you do not know who sent them.
Do not open attachments until you confirm that the person actually sent you them,
Scan attachments with tools like VirusTotal.
Make sure all Windows updates are installed as soon as they come out! Also make sure you update all programs, especially Java, Flash, and Adobe Reader. Older programs contain security vulnerabilities that are commonly exploited by malware distributors. Therefore it is important to keep them updated.
Make sure you use have some sort of security software installed.
Use hard passwords and never reuse the same password at multiple sites.
If you are using Remote Desktop Services, do not connect it directly to the Internet. Instead make it accessibly only via a VPN.
For a complete guide on ransomware protection, you visit our How to Protect and Harden a Computer against Ransomware article.
Как защитить себя от Crysis Ransomware
Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства.
У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования.
Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:
Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете какое-то программное обеспечение безопасности.
Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
Выпущена новая версия BTCWare Ransomware (.NUCLEAR)
A new variant of the BTCWare ransomware was discovered by ID-Ransomware's Michael Gillespie that appends the
.[affiliate_email].nuclear
extension to encrypted files. The BTCWare family of ransomware is distributed by the developers hacking into remote computers with weak passwords using Remote Desktop services. Once they are able to gain access to a computer, they will install the ransomware and encrypt the victim's files.
Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи от ID-Ransomware, который добавляет расширение [affiliate_email] .nuclear к зашифрованным файлам. Семейство Ransomeware BTCWare распространяется разработчиками, взламывающими удаленные компьютеры со слабыми паролями, используя службы удаленного рабочего стола. Как только они смогут получить доступ к компьютеру, они будут устанавливать выкуп и шифровать файлы жертвы.
Выпущен новый вариант шифратора BTCware Ransomware (.Payday)
A new variant of what appears to be BTCWare ransomware is currently targeting victims and appending the
.[email]-id-id.payday
extension to encrypted files. This family of ransomware targets its victims by hacking into poorly protected remote desktop services and manually installing the ransomware.
What's New in the Payday Ransomware BTCWare Variant
According to Michael Gillespie, the creator of ID-Ransomware, this payday variant uses a new key generation when encrypting files, which cannot be cracked. So unfortunately, there is no way to decrypt payday files for free.
This week, ID-Ransomware's Michael Gillespie noticed what appeared to be a new variant of the Crysis/Dharma Ransomware uploaded to his ID-Ransomware site. Jakub Kroustek then discovered a sample to confirm that it was indeed a new Crysis variant. This new version will append the .cobra extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Crysis was typically spread by hacking into Remote Desktop Services and manually installing the ransomware.
When this Cobra ransomware variant is installed, it will scan a computer for data files and encrypt them. When encrypting a file it will append an extension in the format of .id-[id].[e-mail].cobra. For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].cobra.
На этой неделе Майкл Гиллеспи в ID-Ransomware заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил образец, подтверждающий, что это действительно новый вариант Crysis. Эта новая версия добавит расширение .cobra к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и вручную устанавливал ransomware.
Когда этот вариант Cobra ransomware установлен, он сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cobra. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cobra.
Как защитить себя от Crysis Ransomware
Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали хорошие компьютерные привычки и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.
Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.
Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:
Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете надежное программное обеспечение безопасности.
Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
похоже, новый вариант CrySiS появился, шифрует файлы с расширением .java
Зашифровал в основном файлы .doc .xls .pdf .jpg .exe и другие. зашифровал примерно 70% файлов, по какому принципу выбирал - не понятно, 1с не тронул. Всем файлам к имени добавил id-32206A44.[[email protected]].java (например: ViberSetup.exe.id-32206A44.[[email protected]].java).
Scarab Ransomware активно распространяется через рассылку спама.
Scarab - это четвертый штамп Ransomware, который Necurs продвинул в этом году после Locky, Jaff и GlobeImposter.
Все три вышеупомянутых штампа ransomware были проблемой для пользователей в этом году. Если его партнерство с Necurs будет продолжаться в ближайшие недели, Scarab собирается дать пользователям и исследователям массу головных болей.
Scarab emails disguised as archives carrying scanned images
The emails delivering the Scarab ransomware followed a pattern seen in the past with Necurs spam. The email subjects gave the illusion the attached documents were images of scanned documents. The most popular subject lines seen today were:
Scanned from Lexmark
Scanned from HP
Scanned from Canon
Scanned from Epson
These emails carried a 7Zip archive that contained a Visual Basic script. The script would download and run an EXE file —the Scarab ransomware.
This Visual Basic script contained the same Game of Thrones references that were seen in September in Necurs campaigns that pushed the Locky ransomware.
Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс 32-х битный
File_Id 5A162B3815A000
Linker 14.0
Размер 365056 байт
Создан 24.11.2017 в 10:39:22
Изменен 24.11.2017 в 10:39:20
TimeStamp 23.11.2017 в 01:58:16
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Версия файла 1.0.0.1
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка
pid = 1904 ComputerName\user
CmdLine "C:\Documents and Settings\user\Application Data\sevnz.exe"
Процесс создан 10:39:43 [2017.11.24]
С момента создания 00:00:34
parentid = 476
SHA1 B0AF9ED37972AAB714A28BC03FA86F4F90858EF5
MD5 E8806738A575A6639E7C9AAC882374AE
Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce\uSjBVNE
uSjBVNE C:\Documents and Settings\user\Application Data\sevnz.exe
Образы EXE и DLL
SEVNZ.EXE C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA
Не успели стихнуть споры вокруг DDE, как ИБ-специалисты обнаружили новую проблему в Office. Так, в середине текущей недели аналитики компании Trend Micro опубликовали отчет о новом шифровальщике qkG. Малварь оказалась не совсем обычной: она шифрует исключительно документы Word. Более того, подобно червю, qkG умеет самостоятельно распространяться и далее, инфицируя другие документы на скомпрометированной машине.
Специалисты Trend Micro рассказали, что впервые qkG был замечен в начале ноября 2017 года: тогда в VirusTotal почти ежедневно загружали подозрительные файлы, которые, как оказалось, были связаны с новым шифровальщиком. Эксперты пишут, что загрузки разных версий вредоноса осуществлялись из Вьетнама.
Работает qkG не совсем обычно. Так, когда пользователь открывает зараженный документ Word, его хитростью вынуждают нажать на кнопку «Enable Editing», которая разрешит выполнение макроскриптов. В случае qkG – это будет VBA-код, которым снабжается документ. Этот аспект уже не совсем обычен, так как обычно макросы используются для загрузки пейлоада, а не сами по себе. Тем не менее, сразу после запуска кода qkG ничего подозрительного не происходит. Дело в том, что малварь использует функцию onClose, то есть вредоносный макрокод срабатывает только после закрытия документа.
Когда жертва закрывает зараженный документ, происходит следующее. Во-первых, малварь изменяет настройки Office, разрешает программный доступ к VBA object model (AccessVBOM) и деактивирует Protected View, чтобы в дальнейшем выполнение макросов происходило автоматически (для этого малварь редактирует реестр: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV). Во-вторых, вредоносный код qkG внедряется в normal.dot – стандартный шаблон для всех документов Word. В-третьих, содержимое всех уже существующих документов на устройстве жертвы шифруется при помощи XOR, а в конец каждого документа добавляется сообщение с требованием выкупа.
A new variant of the BTCWare ransomware was discovered by Michael Gillespie, that appends the .[email]-id-id.shadow extension to encrypted files. The BTCWare family of ransomware infections targets its victims by hacking into poorly protected remote desktop services and manually installing the ransomware.
Below is a brief summary of changes in this new Shadow btcware ransomware variant.
What's New in the Shadow Ransomware BTCWare Variant
Not much has changed with this new variant other than the email addresses a victim should contact the developer with and the extension appended to encrypted files. In this version, the contact email address is now [email protected], which is listed in the ransom note below.
[/email]
Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи, который добавляет расширение [e-mail] -id-id.shadow к зашифрованным файлам. Семейство шифраторов BTCWare нацелено на жертв, путем взлома плохо защищенных служб удаленных рабочих столов и ручной установки вымогателей.
Что нового в Shadow Ransomware Вариант BTCWare
Не так много изменилось с этим новым вариантом, кроме адресов электронной почты, с которыми жертва должна связаться с разработчиком, и нового расширения добавленного в зашифрованные файлы. В этой версии контактный адрес электронной почты теперь является [email protected], который указан в примечании о выкупе.
Seems to be another incarnation of #CrySiS/#Dharma #Ransomware using extension ".write". Spotted by ID Ransomware past few days.
Похоже, есть еще одно воплощение # CrySiS / # Dharma #Ransomware с расширением «.write».
Разрушительные вредоносные программы наносят ущерб на зимних Олимпийских играх PyeongChang 2018
Разрушительная вредоносная программа, нацеленная на саботаж ПК, виновата в проблемах ИТ, о которых сообщалось во время церемонии открытия зимних Олимпийских игр в Пхёнчхане 2018 года.
Проблемы, впервые представленные в пятницу британским документом The Guardian, состояли из неудачных интернет-и телевизионных систем для журналистов на местах, которые присутствовали и сообщали об открытии.
Хотя вначале организаторы Олимпиады были спокойны, чиновники, наконец, признались в воскресенье, что ИТ-неудачи не были случайными, и их сеть стала жертвой злонамеренной и скоординированной кибер-атаки.
Вредоносная программа не пытается украсть данные у скомпрометированных хостов
Новые подробности об этих атаках выявились сегодня, когда исследователи безопасности подразделения Cisco Talos опубликовали новые исследования по вредоносному ПО, используемым злоумышленниками.
По словам исследователей Cisco, злоумышленники развернули невиданные ранее вредоносные программы, направленные на уничтожение данных и уничтожение данных.
«Похоже, что не происходит никакой фильтрации данных», - рассказали исследователи Cisco Talos Уоррен Мерсер и Пол Раскагнерс об этом вредоносном ПО, которое они назвали Olympic Destroyer. «Проанализированные образцы, похоже, выполняют только деструктивные функции».
«Деструктивный характер этого вредоносного ПО направлен на то, чтобы сделать машину непригодной для использования, удалив теневые копии, журналы событий и пытаясь использовать PsExec & WMI для дальнейшего перемещения по окружающей среде. Это то, что мы наблюдали ранее с BadRabbit и Nyetya», Mercer and Rascagneres добавлено.
Как происходит деструктивная атака
Cisco проводит углубленный анализ этой угрозы, но мы кратко описали атаку Олимпийского разрушителя ниже, в простых для понимания шагах:
⧁ Хакеры устанавливают Olympic Destroyer в систему (исходный метод доставки в настоящее время неизвестен).
⧁ Olympic Destroyer разворачивает два файла (для кражи учетных данных браузеров и системных учетных данных).
⧁ агент сбора учетных данных браузера собирает учетные данные из Internet Explorer, Firefox и Chrome.
⧁ агент сбора учетных данных системы собирает учетные данные из Windows LSASS (Служба подсистемы локальной безопасности) с помощью технологии, аналогичной той, которая используется Mimikatz.
⧁ Olympic Destroyer проверяет таблицу ARP для локальных хостов.
⧁ Olympic Destroyer использует WMI для поиска других хостов в одной сети.
⧁ Olympic Destroyer распространяется на другие хосты с помощью украденных учетных данных и использования жестко запрограммированных учетных данных, хранящихся в его двоичном формате (с использованием законного инструмента PsExec).
⧁ Деструктивное поведение начинается с исходного хоста с помощью VSSAdmin для удаления копий теневого тома (препятствует будущему восстановлению данных).
⧁ Olympic Destroyer использует cmd.exe и WBAdmin.exe для тихого удаления каталога резервных копий ОС (препятствует будущему восстановлению данных).
⧁ Olympic Destroyer использует cmd.exe и BCEdit.exe, чтобы отключить консоль восстановления Windows перед загрузкой (ОС не пытается восстановить себя).
⧁ Olympic Destroyer удаляет журналы событий системы и безопасности Windows, чтобы скрыть свои следы.
⧁ Olympic Destroyer отключает все службы Windows на ПК.
⧁ Олимпийский разрушитель выключает машину, оставляя ее не в состоянии начать.
Следует отметить, что Olympic Destroyer не удаляет файлы жертвы. Данные остаются нетронутыми, но при попытке загрузки система столкнется с ошибками, главным образом из-за того, что многие важные службы Windows отключены.
Looks like #Cryakl #Ransomware has updated to v1.5.1.0. ID Ransomware picked up on example file named "[email protected]http://1.5.1.0.id -1614714137-578233478334310455516964.fname-README.txt.doubleoffset"
В начале месяца румынская полиция и Европол арестовали командные серверы, управляющие кампанией набирающего популярность вымогателя GandCrab. Но авторы шифровальщика быстро исправили вредоносную программу и снова взялись за старое.
Согласно недавнему исследованию от Check Point, злоумышленники заразили GandCrab более 50 000 пользователей, преимущественно из США, Великобритании и Скандинавии. За два месяца вымогательства преступникам удалось выманить у своих жертв 600 000 долларов США. Напомним, это первый шифровальщик, который требует выкупа в криптовалюте DASH.
«GandCrab — самая известная программа-вымогатель в 2018 году. По нашим данным, ее авторам удалось охватить огромное количество устройств», — отметил руководитель по исследованию безопасности компании Check Point Янив Балмас (Yaniv Balmas).
Он также опроверг распространенное мнение о том, что злоумышленники постепенно отказываются от шифровальщиков в пользу добычи криптовалюты. Как считает исследователь, вымогательство остается одним из самых легких способов нелегального заработка, и количество жертв шифровальщиков вряд ли снизится в ближайшее время.
Изучив первые и более поздние версии GandCrab, специалисты Check Point пришли к выводу, что для того, чтобы неизменно получать прибыль и оставаться на шаг впереди экспертов по кибербезопасности, авторы зловреда используют совершенно новый подход к разработке вредоносных программ.
Today, Michael Gillespie noticed what appeared to be a new variant of the Crysis/Dharma Ransomware uploaded to his ID-Ransomware site. Jakub Kroustek then discovered some samples to confirm that it was indeed a new Dharma variant. This new version will append the .Bip extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Dharma is typically spread by hacking into Remote Desktop Services and manually installing the ransomware.
When the Bip ransomware variant is installed, it will scan a computer for data files and encrypt them. When encrypting a file it will append an extension in the format of .id-[id].[e-mail].bip. For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].bip.
It should be noted that this ransomware will encrypt mapped network drives, shared virtual machine host drives, and unmapped network shares. So it is important to make sure your network's shares are locked down so that only those who actually need access have permission.
Сегодня Майкл Гиллеспи заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил несколько образцов, чтобы подтвердить, что это действительно новый вариант Дхармы. Эта новая версия добавит расширение .Bip к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Dharma обычно распространяется путем взлома Служб удаленных рабочих столов (RDP) и ручной установки шифратора.
Псоле установки Bip ransomware сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .bip. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .bip.
Следует отметить, что этот вариант шифратора будет шифровать подключенные сетевые диски, общие виртуальные машины и не распределенные сетевые ресурсы. Поэтому важно убедиться, что ваши сетевые ресурсы заблокированы, так что только те, кому действительно нужен доступ, имеют разрешение.
Распространяется через взломанные службы удаленного рабочего стола (RDP)
Семейство Dharma Ransomware, включая и вариант Cmb, устанавливается вручную злоумышленниками, после взлома систем через службы удаленного рабочего стола (RDP). Нападающие сканируют Интернет для компьютеров, на которых работает RDP, обычно на TCP-порт 3389, а затем пытаются переустановить пароль доступа для данного компьютера.
Как только они получат доступ к компьютеру, они установят ransomware и начинают шифровать компьютер. Если злоумышленники могут зашифровать другие компьютеры в сети, они также попытаются это сделать.
Когда установлен вариант Ransomware Cmb, он сканирует компьютер на файлы и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cmb. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cmb.
all your data has been locked us
You want to return?
write email [email protected]
info.hta:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
Write this ID in the title of your message 8ADB6DDA
In case of no answer in 24 hours write us to theese e-mails:[email protected]
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
И еще один вариант ... #CrySiS / #Dharma #ransomware - расширение «.vanss» - электронная почта «[email protected]» - примечания в «Info.hta» и «FILES ENCRYPTED.txt».
A day after Bitdefender released a decryption tool, the GandCrab team released v5.0.5 of the ransomware, for which the decrypter is useless.
На следующий день после того, как Bitdefender выпустил инструмент дешифрования, команда GandCrab выпустила v5.0.5 шифратора, для которого decrypter уже не работает.
Комментарии
Locky Ransomware возвращается с вариантом *.Diablo6
Благодаря активной кампании с майл-спамом, Locky вернулся и в настоящее время широко распространен во всем мире. Ранее Locky считался наиболее распространенным шифратором, но со временем стали намного чаще встречаться другие вымогатели, такие как Cerber, Spora, и теперь даже GlobeImposter. Пока еще слишком рано говорить, что это: еще один краткий всплеск или попытка снова стать крупным игроком, но мы знаем, что эта кампания сильна сейчас в связи с широким распространением.
Эти письма имеют прикрепленный файл ZIP, который использует то же имя, что и строка темы, в которой содержится сценарий загрузчика VBS. Этот скрипт будет содержать один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky rsomware в папку% Temp%, а затем выполнить его.
bleepingcomputer.com
Locky Ransomware switches to the Lukitus extension for Encrypted Files
Today a new Locky Ransomware variant was discovered by Rommel Joven that switches to the .lukitus extension for encrypted files. It is important to note that if you are infected with this ransomware, you are not infected with the Lukitus Ransomware, as some sites may call it. You are instead infected by Locky, which is using the .lukitus extension. There is a difference.
According to Derek Knight, this variant is currently being distributed via spam emails that have subject lines of < No Subject > or Emailing - CSI-034183_MB_S_7727518b6bab2, which contain zip or rar attachments with JS files. When these JS files are executed, they will download the Locky executable from a remote site.
Сегодня Rommel Joven открыл новый вариант Locky Ransomware, который переключается на расширение .lukitus для зашифрованных файлов. Важно отметить, что если вы заражены этим вымогательством, вы не заражены Lukitus Ransomware, как это могут назвать некоторые сайты. Вместо этого вы инфицированы Locky, который использует расширение .lukitus. Есть разница.
По словам Дерека Найт, этот вариант в настоящее время распространяется через электронные письма со спамом, в которых есть темы <No Subject> или Emailing - CSI-034183_MB_S_7727518b6bab2, которые содержат вложения zip или rar с файлами JS. Когда эти JS-файлы будут выполнены, они будут загружать исполняемый файл Locky с удаленного сайта.
bleepingcomputer.com
hybrid-analysis.com
на сегодня уже известно несколько электронных почт, которые используют злоумышленники для обратной связи с пострадавшими пользователями:
[[email protected]]
[[email protected]]
[[email protected]]
virustotal.com
hybrid-analysis.com
примечательно, что только ESET определил файл шифратора как Spora.
virustotal.com
Вчера Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware.
Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .arena.
Как защитить себя от Crysis Ransomware
Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства.
У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования.
Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:
Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете какое-то программное обеспечение безопасности.
Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.
Для получения полного руководства по защите от угроз посетите наш раздел «Как защитить и обезопасить компьютер от Ransomware».
>bleepingcomputer.com
Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи от ID-Ransomware, который добавляет расширение [affiliate_email] .nuclear к зашифрованным файлам. Семейство Ransomeware BTCWare распространяется разработчиками, взламывающими удаленные компьютеры со слабыми паролями, используя службы удаленного рабочего стола. Как только они смогут получить доступ к компьютеру, они будут устанавливать выкуп и шифровать файлы жертвы.
>bleepingcomputer.com
bleepingcomputer.com
На этой неделе Майкл Гиллеспи в ID-Ransomware заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил образец, подтверждающий, что это действительно новый вариант Crysis. Эта новая версия добавит расширение .cobra к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и вручную устанавливал ransomware.
Когда этот вариант Cobra ransomware установлен, он сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cobra. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cobra.
Как защитить себя от Crysis Ransomware
https://www.virustotal.com/en/file/de6376e23536b3039afe6b0645da4fc180969b1dc3cc038b1c6bd5941d88c4d8/analysis/#comments
https://www.bleepingcomputer.com/news/security/new-cobra-crysis-ransomware-variant-released/
https://forum.kasperskyclub.ru/index.php?showtopic=57727
+
сообщение от Demonslay335 в твиттере:
+
http://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
Scarab - это четвертый штамп Ransomware, который Necurs продвинул в этом году после Locky, Jaff и GlobeImposter.
Все три вышеупомянутых штампа ransomware были проблемой для пользователей в этом году. Если его партнерство с Necurs будет продолжаться в ближайшие недели, Scarab собирается дать пользователям и исследователям массу головных болей.
https://www.bleepingcomputer.com/news/security/scarab-ransomware-pushed-via-massive-spam-campaign/
записка о выкупе:
пример зашифрованного файла:
файл шифратора:
добавлю, что файл после завершения процесса шифрования самоудаляется.
https://www.hybrid-analysis.com/sample/b538491b57e1b51ff27d5ce6def537040011bf4b0c6c2fe20dda8be0ef5ae737?environmentId=100
Специалисты Trend Micro рассказали, что впервые qkG был замечен в начале ноября 2017 года: тогда в VirusTotal почти ежедневно загружали подозрительные файлы, которые, как оказалось, были связаны с новым шифровальщиком. Эксперты пишут, что загрузки разных версий вредоноса осуществлялись из Вьетнама.
Работает qkG не совсем обычно. Так, когда пользователь открывает зараженный документ Word, его хитростью вынуждают нажать на кнопку «Enable Editing», которая разрешит выполнение макроскриптов. В случае qkG – это будет VBA-код, которым снабжается документ. Этот аспект уже не совсем обычен, так как обычно макросы используются для загрузки пейлоада, а не сами по себе. Тем не менее, сразу после запуска кода qkG ничего подозрительного не происходит. Дело в том, что малварь использует функцию onClose, то есть вредоносный макрокод срабатывает только после закрытия документа.
Когда жертва закрывает зараженный документ, происходит следующее. Во-первых, малварь изменяет настройки Office, разрешает программный доступ к VBA object model (AccessVBOM) и деактивирует Protected View, чтобы в дальнейшем выполнение макросов происходило автоматически (для этого малварь редактирует реестр: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV). Во-вторых, вредоносный код qkG внедряется в normal.dot – стандартный шаблон для всех документов Word. В-третьих, содержимое всех уже существующих документов на устройстве жертвы шифруется при помощи XOR, а в конец каждого документа добавляется сообщение с требованием выкупа.
https://xakep.ru/2017/11/24/self-spreading-macro-malware/
https://www.bleepingcomputer.com/news/security/qkg-ransomware-encrypts-only-word-documents-hides-and-spreads-via-macros/
http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/
https://threatpost.ru/qkg-ransomware-spreads-through-macros/23399/
Below is a brief summary of changes in this new Shadow btcware ransomware variant.
What's New in the Shadow Ransomware BTCWare Variant
Not much has changed with this new variant other than the email addresses a victim should contact the developer with and the extension appended to encrypted files. In this version, the contact email address is now [email protected], which is listed in the ransom note below.
[/email]
Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи, который добавляет расширение [e-mail] -id-id.shadow к зашифрованным файлам. Семейство шифраторов BTCWare нацелено на жертв, путем взлома плохо защищенных служб удаленных рабочих столов и ручной установки вымогателей.
Что нового в Shadow Ransomware Вариант BTCWare
Не так много изменилось с этим новым вариантом, кроме адресов электронной почты, с которыми жертва должна связаться с разработчиком, и нового расширения добавленного в зашифрованные файлы. В этой версии контактный адрес электронной почты теперь является [email protected], который указан в примечании о выкупе.
File Hashes:
https://www.bleepingcomputer.com/news/security/new-shadow-btcware-ransomware-variant-released/
Похоже, есть еще одно воплощение # CrySiS / # Dharma #Ransomware с расширением «.write».
Разрушительная вредоносная программа, нацеленная на саботаж ПК, виновата в проблемах ИТ, о которых сообщалось во время церемонии открытия зимних Олимпийских игр в Пхёнчхане 2018 года.
Проблемы, впервые представленные в пятницу британским документом The Guardian, состояли из неудачных интернет-и телевизионных систем для журналистов на местах, которые присутствовали и сообщали об открытии.
Хотя вначале организаторы Олимпиады были спокойны, чиновники, наконец, признались в воскресенье, что ИТ-неудачи не были случайными, и их сеть стала жертвой злонамеренной и скоординированной кибер-атаки.
Вредоносная программа не пытается украсть данные у скомпрометированных хостов
Новые подробности об этих атаках выявились сегодня, когда исследователи безопасности подразделения Cisco Talos опубликовали новые исследования по вредоносному ПО, используемым злоумышленниками.
По словам исследователей Cisco, злоумышленники развернули невиданные ранее вредоносные программы, направленные на уничтожение данных и уничтожение данных.
«Похоже, что не происходит никакой фильтрации данных», - рассказали исследователи Cisco Talos Уоррен Мерсер и Пол Раскагнерс об этом вредоносном ПО, которое они назвали Olympic Destroyer. «Проанализированные образцы, похоже, выполняют только деструктивные функции».
«Деструктивный характер этого вредоносного ПО направлен на то, чтобы сделать машину непригодной для использования, удалив теневые копии, журналы событий и пытаясь использовать PsExec & WMI для дальнейшего перемещения по окружающей среде. Это то, что мы наблюдали ранее с BadRabbit и Nyetya», Mercer and Rascagneres добавлено.
Как происходит деструктивная атака
Cisco проводит углубленный анализ этой угрозы, но мы кратко описали атаку Олимпийского разрушителя ниже, в простых для понимания шагах:
Следует отметить, что Olympic Destroyer не удаляет файлы жертвы. Данные остаются нетронутыми, но при попытке загрузки система столкнется с ошибками, главным образом из-за того, что многие важные службы Windows отключены.
https://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/
https://threatpost.ru/gandcrab-ransomware-crooks-take-agile-development-approach/25082/
Сегодня Майкл Гиллеспи заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил несколько образцов, чтобы подтвердить, что это действительно новый вариант Дхармы. Эта новая версия добавит расширение .Bip к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Dharma обычно распространяется путем взлома Служб удаленных рабочих столов (RDP) и ручной установки шифратора.
Псоле установки Bip ransomware сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .bip. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .bip.
Следует отметить, что этот вариант шифратора будет шифровать подключенные сетевые диски, общие виртуальные машины и не распределенные сетевые ресурсы. Поэтому важно убедиться, что ваши сетевые ресурсы заблокированы, так что только те, кому действительно нужен доступ, имеют разрешение.
https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/
New variant of #Dharma #Ransomware spotted on ID Ransomware using extension ".id-<id>.[<e-mail>].cmb".
New Cmb Dharma Ransomware Variant Released
Распространяется через взломанные службы удаленного рабочего стола (RDP)
Семейство Dharma Ransomware, включая и вариант Cmb, устанавливается вручную злоумышленниками, после взлома систем через службы удаленного рабочего стола (RDP). Нападающие сканируют Интернет для компьютеров, на которых работает RDP, обычно на TCP-порт 3389, а затем пытаются переустановить пароль доступа для данного компьютера.
Как только они получат доступ к компьютеру, они установят ransomware и начинают шифровать компьютер. Если злоумышленники могут зашифровать другие компьютеры в сети, они также попытаются это сделать.
Когда установлен вариант Ransomware Cmb, он сканирует компьютер на файлы и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cmb. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cmb.
https://www.bleepingcomputer.com/news/security/new-cmb-dharma-ransomware-variant-released/
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы:
https://www.virustotal.com/#/file/2220f804dcfc86a2529b6f36d6f23da4baaaba964ed7daed9f427b372fede18b/detection …
Менее чем за неделю, и есть еще одна версия #CrySiS #ransomware-расширение ". Gamma" (".id-% ID%. [ [email protected]]. Gamma ") + записка о выкупе в" Files encrypted. txt ". https://www.virustotal.com/#/file/d981e96ffbc7a18c28abf4c1cb18f48235f1e72b43c4b48b9a17be5926c98d03/detection …
Еще один день, еще один новый вариант # CrySiS / # Dharma #ransomware - на этот раз с расширением «.monro» и обычными «FILES ENCRYPTED.txt» и «Info.hta» выкупками. Электронная почта "[email protected]" (@gexcolo).
Другой вариант # CrySiS / # Dharma #ransomware - расширение «.bkp». [[email protected]] (@gexcolo) https://www.virustotal.com/#/file/1d2cf0948b25486fb1b4d93e4a35e3615f0c492e22dc13a6a96e146e314accc9/detection ... https://beta.virusbay.io/sample/browse/2fd6f58e3b18ff294b06e115248a5117 ...
Другой вариант # CrySiS / # Dharma #ransomware. На этот раз с расширением файла .btc + Info.hta + «FILES ENCRYPTED.txt» + адрес электронной почты «[email protected]».
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
JakubKroustek:
#CrySiS / #Dharma #ransomware - .[[email protected]].waifu - https://www.virustotal.com/#/file/26653834234b4abf4f3c5f90a135ab74e0eb1e089d6be8934a08dbaf03858dde/detection … - unpack https://www.virustotal.com/#/file/a1ac896f8be90f43aa83fc5442cdf7715396f7d385aee604f22e3cf2cb462f62/detection … (@demonslay335)
например,
Port3NaPochtu.epf.id-8ADB6DDA.[[email protected]].FUNNY
FILES ENCRYPTED.txt:
info.hta:
hybrid-analysis.com
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#Ransomware #CrySiS / #Dharma with extensions ".betta" (email [email protected]). https://www.virustotal.com/#/file/1b1fdf8bc5d2d39ac6e90aba18b44f6cc4fe26c93bcf09ce1d98793b1c1f132f/detection …. Cc @demonslay335
И еще один вариант ... #CrySiS / #Dharma #ransomware - расширение «.vanss» - электронная почта «[email protected]» - примечания в «Info.hta» и «FILES ENCRYPTED.txt».
And another variant... #CrySiS / #Dharma #ransomware - extension ".vanss" - email "[email protected]" - notes in "Info.hta" and "FILES ENCRYPTED.txt". #VMProtect. https://www.virustotal.com/#/file/4fcaca23e9cfb7e5448f41bb520c9c35c68fd795ac6b3707d0c64cf92738acf2/detection … Cc @demonslay335
На следующий день после того, как Bitdefender выпустил инструмент дешифрования, команда GandCrab выпустила v5.0.5 шифратора, для которого decrypter уже не работает.