CHKLST.RU

Ransomware Overview

отредактировано Май 2017 Раздел: Шифровирусы шумной толпою
наиболее полный обзор вариантов шифраторов от nyxbone на сегодня (из тех обзоров что встречались), хотя российская специфика шифраторов здесь представлена не полностью.
В этом году (2016 г.) наблюдается бум в отношении этих видов угроз: вымогателей, так что это было необходимо провести детальный мониторинг его характеристик, производительности и различные типы алгоритмов шифрования, которые используются для предотвращения доступ к персональной информации пользователей. Цель авторов, которые разрабатывают этот тип программы в основном на "выкачивать" (требуют оплаты или погашения) лиц с целью получения экономической выгоды.
Эта информация была собрана благодаря усилиям:
Florian Roth - cyb3rops
Bart - bartblaze
Michael Gillespie - demonslay335
Marcelo Rivero - MarceloRivero
Daniel Gallagher - DanielGallagher
Katja Hahn - hahn_katja
Mosh - nyxbone
И другими исследователями (которые поддерживают работу обнаружения и анализа):
"☩MalwareMustDie - MalwareMustDie
"MalwareHunterTeam - malwrhunterteam
"Hasherezade - hasherezade
Lawrence Abrams - BleepinComputer
"S!Ri - siri_urz


http://www.nyxbone.com/malware/RansomwareOverview.html

скачать отчеты в виде таблиц xlsx/odt можно здесь

Российская специфика в данном отчете представлена:
1.Name: 2.Extensions: 3.Extensions (full):4.Ransom Note: 5.Comment: 6.Encryption Algorithm: 7.Also known as


активен давно и стабильно:

Offline ransomware: .cbf: email-[params].cbf:4:5:6:Vipasana, Cryakl:

Troldesh: .xtbl/.breaking_bad/.better_call_saul/.da_vinci_code: 3 :README*.TXT :5: AES(256) :"Shade, XTBL"

Xorist:".EnCiPhErEd/.73i87A/.p5tkjw/.PoAr2w/.fileiscryptedhard":3:4:5:6:7:

Zlader / Russian:.vault:3:4:VaultCrypt family RSA:"VaultCrypt, CrypVault"
активен в последнее время:
Enigma:.enigma:3:4:5:AES (128):7

RAA encryptor:.locked:3:4:RAA:6:7
активен эпизодически:
CryptoJoker: .crjoker:3:4:5:6:7

LeChiffre:.LeChiffre:3:4:5:6:7

Locky:.locky:([A-F0-9]{32}).locky:"_HELP_instructions.txt,_Locky_recover_instructions.txt":5: AES(128)

Nemucod: .crypted:3:4:7zip (a0.exe) variant cannot be decrypted": XOR(255):7

Radamant ".RDM/.RRK/.RAD/.RADAMANT":3:YOUR_FILES.url:5: AES(256):7

активен некоторое время назад

TeslaCrypt 0.x - 2.2.0 ".vvv/.ecc/.exx/.ezz/.abc/.aaa/.zzz/.xyz":3:HELP_TO_SAVE_FILES.txt:4:5:Factorization:AlphaCrypt
TeslaCrypt 3.0+:".micro/.xxx/.ttt/.mp3/"3:4:5:AES(256) + ECHD + SHA1:7
TeslaCrypt 4.0+:has no extension:3:4:5:AES(256) + ECHD + SHA1:7
TeslaCrypt 4.1A:no special extension:3:4:5:AES(256) + ECHD + SHA1:7
TeslaCrypt 4.2:no special extension:3:4:5:AES(256) + ECHD + SHA1:7

CTB-Locker:.ctbl/.([a-z]{6,7})":3:AllFilesAreLockedDecryptAllFiles":5:RSA(2048):7

Lortok:.crime:3:4:5:6:7

VaultCrypt:".vault/.xort/.trun/XRTN":3:4:5:uses gpg.exe: "CrypVault, Zlader":активность xrtn/trun/xort наблюдалась уже за пределами России - в Германии.

Комментарии

  • отредактировано Декабрь 2016 PM
    здесь публикуется фильтр расширений и записок о выкупе по шифраторам. (возможно он обновляется)
    https://fsrm.experiant.ca/
  • отредактировано Декабрь 2017 PM
    Крайне полезный блог (© Amigo-A (Andrew Ivanov)), который содержит детальную информацию по множеству шифраторов.
    png592ev0i0n.jpg

    id-ransomware.blogspot.ru
  • Безусловно, следует добавить сервис ID-Ransomware, который разработан и поддерживается
    © Copyright 2019 MalwareHunterTeam. All rights reserved.
    Coded by Demonslay335
    sk6zjs233ra1.jpg

    на текущий момент поддерживается определение свыше 680 вариантов шифраторов:
    010001, 24H Ransomware, 4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, AAC, ABCLocker, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-Matrix, AES-NI, AES256-06, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Allcry, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, Anatova, AnDROid, AngryDuck, Anubi, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ApolloLocker, AresCrypt, Argus, Armage, ArmaLocky, ASN1 Encoder, Atchbo, Aurora, AutoLocky, AutoWannaCryV2, AVCrypt, AxCrypter, aZaZeL, B2DR, BadBlock, BadEncript, BadRabbit, Bam!, BananaCrypt, BandarChor, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, Bitpaymer, Bitshifter, BitStak, BKRansomware, Black Feather, Black Shades, BlackHeart, Blackout, BlackRuby, Blind, Blind 2, Blocatto, BlockFile12, Blooper, Blue Blackmail, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Aleta, BTCWare Gryphon, BTCWare Master, BTCWare PayDay, Bubble, Bucbi, Bud, BugWare, BuyUnlockCode, Cancer, Cassetto, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, ChinaYunLong, CHIP, ClicoCrypter, Clop, Clouded, CmdRansomware, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, CorruptCrypt, Cossy, Coverton, CradleCore, CreamPie, Creeper, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt0r, Crypt12, Crypt38, CryptConsole, CryptConsole3, CryptFuck, CryptGh0st, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, Crypton, CryptON, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, Crystal, CTB-Faker, CTB-Locker, Dablio, Damage, DarkoderCryptor, DataKeeper, Dcrtr, DCry, DCry 2.0, Deadly, DeathNote, DEDCryptor, Defender, Defray, Defray777, DeriaLock, Dharma (.cezar Family), Dharma (.dharma Family), Dharma (.onion Family), Dharma (.wallet Family), Digisom, DilmaLocker, DirtyDecrypt, District, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, Donut, DoubleLocker, DriedSister, DryCry, Dviide, DXXD, DynA-Crypt, eBayWall, ECLR Ransomware, EdgeLocker, EduCrypt, EggLocker, El Polocker, Enc1, EnCrypt, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, EOEO, Erebus, Eternal, Everbe, Everbe 2.0, Evil, Executioner, ExecutionerPlus, Exocrypt XTC, Exotic, Extortion Scam, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FCPRansomware, FenixLocker, FenixLocker 2.0, Fenrir, FilesLocker, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FRSRansomware, FS0ciety, FuckSociety, FunFact, GandCrab, GandCrab v4.0 / v5.0, GandCrab2, GarrantyDecrypt, GC47, Gerber, GhostCrypt, GhostHammer, Gibon, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, Godra, GOG, GoldenEye, Gomasom, Gorgon, GPAA, GPCode, GPGQwerty, GusCrypter, GX40, Hacked, HadesLocker, Halloware, HappyDayzz, hc6, hc7, HDDCryptor, Heimdall, HellsRansomware, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hermes 2.1, Heropoint, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, HPE iLO Ransomware, Hucky, HydraCrypt, IEncrypt, IFN643, ImSorry, Incanto, InducVirus, InfiniteTear, InfinityLock, InsaneCrypt, iRansom, Iron, Ishtar, Israbye, JabaCrypter, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jemd, Jigsaw, JobCrypter, JosepCrypt, JSWorm, JuicyLemon, JungleSec, Kaenlupuf, Kali, Karma, Karmen, Karo, Kasiski, Katyusha, KawaiiLocker, KCW, Kee Ransomware, KeRanger, Kerkoporta, KeyBTC, KEYHolder, KillerLocker, KillRabbit, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, Kraken Cryptor, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, Ladon, Lalabitch, LambdaLocker, LeChiffre, LightningCrypt, Lime, LittleFinger, LLTP, LMAOxUS, Lock2017, Lock93, LockBox, LockCrypt, LockCrypt 2.0, Locked-In, LockedByte, LockeR, LockerGoga, LockLock, LockMe, Lockout, Locky, LongTermMemoryLoss, Lortok, LoveServer, LowLevel04, Lucky, MadBit, MAFIA, MafiaWare, Magic, Magniber, Maktub Locker, MalwareTech's CTF, Marlboro, MarsJoke, Matrix, MauriGo, MaxiCrypt, Maykolin, Maysomware, MCrypt2018, Meteoritan, Mikoyan, MindSystem, Minotaur, MirCop, MireWare, Mischa, MMM, MNS CryptoLocker, Mobef, MoonCrypter, MOTD, MoWare, MRCR1, MrDec, Mystic, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Nemucod-AES, NETCrypton, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, Noblis, NotAHero, Nozelesn, NSB Ransomware, Nuke, NullByte, NxRansomware, Obfuscated, ODCODC, OhNo!, OoPS, OopsLocker, OpenToYou, Ordinypt, OzozaLocker, PadCrypt, Paradise, Paradise B29, PayDay, PayPalGenerator2019, PaySafeGen, PClock, PClock (Updated), PEC 2017, Pendor, Petna, PGPSnippet, Philadelphia, Phobos, Pickles, PoisonFang, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, Predator, PrincessLocker, PrincessLocker 2.0, PrincessLocker Evolution, Project34, Project57, Protected Ransomware, PshCrypt, PUBG Ransomware, PyCL, PyCL, PyL33T, PyLocky, qkG, QP Ransomware, QuakeWay, QwertyCrypt, Qweuirtksd, R980, RAA-SEP, RackCrypt, Radamant, Radamant v2.1, Radiation, Random6, RandomLocker, Ranion, RanRan, RanRans, Rans0mLocked, RansomCuck, Ransomnix, RansomPlus, Ransomwared, RansomWarrior, Rapid, Rapid 2.0 / 3.0, RaRansomware, RarVault, Razy, RedBoot, RedEye, REKTLocker, Rektware, RemindMe, RenLocker, RensenWare, RetMyData, Reyptson, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSA-NI, RSA2048Pro, RSAUtil, Ruby, Russenger, Russian EDA2, Ryuk, SAD, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Saturn, Scarab, Seon, Sepsis, SerbRansom, Serpent, ShellLocker, Shifr, Shigo, ShinigamiLocker, ShinoLocker, ShivaGood, Shrug, Shujin, Shutdown57, Sifreli, Sigma, Sigrun, SilentSpring, Simple_Encoder, SintaLocker, Skull Ransomware, SkyFile, Smrss32, SnakeLocker, Snatch, SNSLocker, SoFucked, Solo Ransomware, Spartacus, Spectre, Spider, Spora, Sport, SQ_, Stampado, Stinger, STOP (Djvu), STOP / KEYPASS, StorageCrypter, Storm, Striked, Stroman, Stupid Ransomware, Styx, SuperB, SuperCrypt, Surprise, SynAck, SyncCrypt, SYSDOWN, SZFLocker, T1Happy, Team XRat, Telecrypt, Termite, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, Thanatos, TheDarkEncryptor, THT Ransomware, tk, Torchwood, TotalWipeOut, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, Tron, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unit09, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, Unlock92 Zipper, Useless Disk, UselessFiles, UserFilesLocker, USR0, Uyari, V8Locker, Vapor v1, VaultCrypt, vCrypt, VegaLocker, Velso, Vendetta, VenisRansomware, VenusLocker, ViACrypt, VindowsLocker, VisionCrypt, VMola, Vortex, Vurten, VxLock, Waffle, WannaCash, WannaCry, WannaCry.NET, WannaCryOnClick, WannaDie, WannaPeace, WannaSmile, WannaSpam, WhatAFuck, WhiteRose, WildFire Locker, WininiCrypt, Winnix Cryptor, WinRarer, WonderCrypter, Wooly, X Locker 5.0, XCry, XCrypt, XData, XiaoBa, XiaoBa 2.0, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, ZariqaCrypt, zCrypt, Zekwacrypt, Zenis, ZeroCrypt, ZeroRansom, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zipper, Zoldon, Zyklon
Войдите или Зарегистрируйтесь чтобы комментировать.