Шифровирусы шумною толпою...

2456710

Комментарии

  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    Locky Ransomware возвращается с вариантом *.Diablo6
    Through a large malspam campaign, Locky is back and currently being heavily distributed worldwide. While Locky was at one point considered the largest distributed ransomware, over time it became much more common to see other ransomware such as Cerber, Spora, and now even GlobeImposter. While it is too soon to tell if this is just another brief surge or an attempt to become a large player again, what we do know is that this particular campaign is strong with a wide distribution.

    Благодаря активной кампании с майл-спамом, Locky вернулся и в настоящее время широко распространен во всем мире. Ранее Locky считался наиболее распространенным шифратором, но со временем стали намного чаще встречаться другие вымогатели, такие как Cerber, Spora, и теперь даже GlobeImposter. Пока еще слишком рано говорить, что это: еще один краткий всплеск или попытка снова стать крупным игроком, но мы знаем, что эта кампания сильна сейчас в связи с широким распространением.

    Эти письма имеют прикрепленный файл ZIP, который использует то же имя, что и строка темы, в которой содержится сценарий загрузчика VBS. Этот скрипт будет содержать один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky rsomware в папку% Temp%, а затем выполнить его.

    ransom-note.jpg

    payment-site.jpg
    bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    Locky Ransomware switches to the Lukitus extension for Encrypted Files

    Today a new Locky Ransomware variant was discovered by Rommel Joven that switches to the .lukitus extension for encrypted files. It is important to note that if you are infected with this ransomware, you are not infected with the Lukitus Ransomware, as some sites may call it. You are instead infected by Locky, which is using the .lukitus extension. There is a difference.

    According to Derek Knight, this variant is currently being distributed via spam emails that have subject lines of < No Subject > or Emailing - CSI-034183_MB_S_7727518b6bab2, which contain zip or rar attachments with JS files. When these JS files are executed, they will download the Locky executable from a remote site.
    Сегодня Rommel Joven открыл новый вариант Locky Ransomware, который переключается на расширение .lukitus для зашифрованных файлов. Важно отметить, что если вы заражены этим вымогательством, вы не заражены Lukitus Ransomware, как это могут назвать некоторые сайты. Вместо этого вы инфицированы Locky, который использует расширение .lukitus. Есть разница.

    По словам Дерека Найт, этот вариант в настоящее время распространяется через электронные письма со спамом, в которых есть темы <No Subject> или Emailing - CSI-034183_MB_S_7727518b6bab2, которые содержат вложения zip или rar с файлами JS. Когда эти JS-файлы будут выполнены, они будут загружать исполняемый файл Locky с удаленного сайта.
    bleepingcomputer.com
    hybrid-analysis.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    Crysis вернулся с новым вариантом шифрования *.cesar.
    на сегодня уже известно несколько электронных почт, которые используют злоумышленники для обратной связи с пострадавшими пользователями:

    [[email protected]]
    [[email protected]]
    [[email protected]]

    en93mc2lvvpe.jpg

    virustotal.com
    hybrid-analysis.com

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    распространители шифратора Spora применяют метод ( с внедрением вредоносного исполняемого объекта (в данном случае кодированный скрипт wsf, который загружает из сети исполняемый шифратор) в офисный документ), который ранее был использован распространителями VAULT.

    kpp1jtaghlkf.jpg

    примечательно, что только ESET определил файл шифратора как Spora.

    virustotal.com





    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    New Arena Crysis Ransomware Variant Released
    Yesterday, ID-Ransomware's Michael Gillespie discovered a new variant of the Crysis/Dharma ransomware that is appending the .arena extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Crysis was typically spread by hacking into Remote Desktop Services and manually installing the ransomware.

    When this ransomware is installed, it will scan the computer for certain file types and encrypt them. When encrypting a file it will append an extension in the format of
    .id-[id].[e-mail].arena.
    
    For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].arena.

    Вчера Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware.

    Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .arena.
    How to protect yourself from the Crysis Ransomware

    In order to protect yourself from Crysis, or from any ransomware, it is important that you use good computing habits and security software. First and foremost, you should always have a reliable and tested backup of your data that can be restored in the case of an emergency, such as a ransomware attack.

    You should also have security software that contains behavioral detections such as Emsisoft Anti-Malware or Malwarebytes.

    Last, but not least, make sure you practice the following good online security habits, which in many cases are the most important steps of all:

    Backup, Backup, Backup!
    Do not open attachments if you do not know who sent them.
    Do not open attachments until you confirm that the person actually sent you them,
    Scan attachments with tools like VirusTotal.
    Make sure all Windows updates are installed as soon as they come out! Also make sure you update all programs, especially Java, Flash, and Adobe Reader. Older programs contain security vulnerabilities that are commonly exploited by malware distributors. Therefore it is important to keep them updated.
    Make sure you use have some sort of security software installed.
    Use hard passwords and never reuse the same password at multiple sites.
    If you are using Remote Desktop Services, do not connect it directly to the Internet. Instead make it accessibly only via a VPN.

    For a complete guide on ransomware protection, you visit our How to Protect and Harden a Computer against Ransomware article.

    Как защитить себя от Crysis Ransomware

    Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства.

    У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования.

    Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:

    Резервное копирование, резервное копирование, резервирование
    Не открывайте вложения, если вы не знаете, кто их отправил.
    Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
    Сканирование вложений с помощью таких инструментов, как VirusTotal.
    Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
    Убедитесь, что вы используете какое-то программное обеспечение безопасности.
    Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
    Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.

    Для получения полного руководства по защите от угроз посетите наш раздел «Как защитить и обезопасить компьютер от Ransomware».

    >bleepingcomputer.com

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Выпущена новая версия BTCWare Ransomware (.NUCLEAR)
    A new variant of the BTCWare ransomware was discovered by ID-Ransomware's Michael Gillespie that appends the
    .[affiliate_email].nuclear
    
    extension to encrypted files. The BTCWare family of ransomware is distributed by the developers hacking into remote computers with weak passwords using Remote Desktop services. Once they are able to gain access to a computer, they will install the ransomware and encrypt the victim's files.

    Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи от ID-Ransomware, который добавляет расширение [affiliate_email] .nuclear к зашифрованным файлам. Семейство Ransomeware BTCWare распространяется разработчиками, взламывающими удаленные компьютеры со слабыми паролями, используя службы удаленного рабочего стола. Как только они смогут получить доступ к компьютеру, они будут устанавливать выкуп и шифровать файлы жертвы.

    >bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Выпущен новый вариант шифратора BTCware Ransomware (.Payday)
    A new variant of what appears to be BTCWare ransomware is currently targeting victims and appending the
    .[email]-id-id.payday
    
    extension to encrypted files. This family of ransomware targets its victims by hacking into poorly protected remote desktop services and manually installing the ransomware.

    What's New in the Payday Ransomware BTCWare Variant

    According to Michael Gillespie, the creator of ID-Ransomware, this payday variant uses a new key generation when encrypting files, which cannot be cracked. So unfortunately, there is no way to decrypt payday files for free.


    bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2017 PM
    This week, ID-Ransomware's Michael Gillespie noticed what appeared to be a new variant of the Crysis/Dharma Ransomware uploaded to his ID-Ransomware site. Jakub Kroustek then discovered a sample to confirm that it was indeed a new Crysis variant. This new version will append the .cobra extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Crysis was typically spread by hacking into Remote Desktop Services and manually installing the ransomware.

    When this Cobra ransomware variant is installed, it will scan a computer for data files and encrypt them. When encrypting a file it will append an extension in the format of .id-[id].[e-mail].cobra. For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].cobra.

    На этой неделе Майкл Гиллеспи в ID-Ransomware заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил образец, подтверждающий, что это действительно новый вариант Crysis. Эта новая версия добавит расширение .cobra к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и вручную устанавливал ransomware.

    Когда этот вариант Cobra ransomware установлен, он сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cobra. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cobra.


    Как защитить себя от Crysis Ransomware
    Чтобы защитить себя от Crysis (или от любых шифраторов), важно, чтобы вы использовали хорошие компьютерные привычки и надежное программное обеспечение для обеспечения безопасности. Прежде всего, вы всегда должны иметь надежную и проверенную резервную копию своих данных, которая может быть восстановлена ​​в случае возникновения чрезвычайной ситуации, например, при атаках шифраторов.

    Вы также должны иметь программное обеспечение безопасности, которое содержит функции поведенческие обнаружения атаки шифраторов.

    Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:

    Резервное копирование, резервное копирование, резервирование
    Не открывайте вложения, если вы не знаете, кто их отправил.
    Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
    Сканирование вложений с помощью таких инструментов, как VirusTotal.
    Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновили все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
    Убедитесь, что вы используете надежное программное обеспечение безопасности.
    Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
    Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.

    https://www.virustotal.com/en/file/de6376e23536b3039afe6b0645da4fc180969b1dc3cc038b1c6bd5941d88c4d8/analysis/#comments

    https://www.bleepingcomputer.com/news/security/new-cobra-crysis-ransomware-variant-released/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2017 PM
    похоже, новый вариант CrySiS появился, шифрует файлы с расширением .java
    Зашифровал в основном файлы .doc .xls .pdf .jpg .exe и другие. зашифровал примерно 70% файлов, по какому принципу выбирал - не понятно, 1с не тронул. Всем файлам к имени добавил id-32206A44.[[email protected]].java (например: ViberSetup.exe.id-32206A44.[[email protected]].java).

    https://forum.kasperskyclub.ru/index.php?showtopic=57727

    +
    сообщение от Demonslay335 в твиттере:



    +
    Расширение: .java
    Примеры файлов:
    malu.jpg.id-FA330904.[[email protected]].java
    hant.lnk.id-7E177353.[[email protected]].java
    Email: [email protected] и [email protected]
    http://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2017 PM
    Scarab Ransomware активно распространяется через рассылку спама.

    Scarab - это четвертый штамп Ransomware, который Necurs продвинул в этом году после Locky, Jaff и GlobeImposter.

    Все три вышеупомянутых штампа ransomware были проблемой для пользователей в этом году. Если его партнерство с Necurs будет продолжаться в ближайшие недели, Scarab собирается дать пользователям и исследователям массу головных болей.
    Scarab emails disguised as archives carrying scanned images

    The emails delivering the Scarab ransomware followed a pattern seen in the past with Necurs spam. The email subjects gave the illusion the attached documents were images of scanned documents. The most popular subject lines seen today were:
    Scanned from Lexmark
    Scanned from HP
    Scanned from Canon
    Scanned from Epson

    These emails carried a 7Zip archive that contained a Visual Basic script. The script would download and run an EXE file —the Scarab ransomware.

    This Visual Basic script contained the same Game of Thrones references that were seen in September in Necurs campaigns that pushed the Locky ransomware.

    https://www.bleepingcomputer.com/news/security/scarab-ransomware-pushed-via-massive-spam-campaign/

    записка о выкупе:
    oubool6kpdwl.jpg

    пример зашифрованного файла:
    keygpg.rar.[[email protected]].scarab
    

    файл шифратора:
    Filepath    %TEMP%\YkqPPlxNv.exe
    Size    357KiB (365056 bytes)
    Type    peexe 
    Description    PE32 executable (GUI) Intel 80386, for MS Windows
    Runtime Process    YkqPPlxNv.exe (PID: 2880)
    MD5    e8806738a575a6639e7c9aac882374ae
    SHA1    b0af9ed37972aab714a28bc03fa86f4f90858ef5
    SHA256    7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f 
    

    добавлю, что файл после завершения процесса шифрования самоудаляется.
    Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\SEVNZ.EXE
    Имя файла SEVNZ.EXE
    Тек. статус АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Обнаруженные сигнатуры
    Сигнатура Ransom.Scarab (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-11-24

    Сохраненная информация на момент создания образа
    Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
    Процесс 32-х битный
    File_Id 5A162B3815A000
    Linker 14.0
    Размер 365056 байт
    Создан 24.11.2017 в 10:39:22
    Изменен 24.11.2017 в 10:39:20

    TimeStamp 23.11.2017 в 01:58:16
    EntryPoint +
    OS Version 5.0
    Subsystem Windows graphical user interface (GUI) subsystem
    IMAGE_FILE_DLL -
    IMAGE_FILE_EXECUTABLE_IMAGE +
    Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
    Цифр. подпись проверка не производилась

    Версия файла 1.0.0.1

    Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
    Путь до файла Типичен для вирусов и троянов

    Доп. информация на момент обновления списка
    pid = 1904 ComputerName\user
    CmdLine "C:\Documents and Settings\user\Application Data\sevnz.exe"
    Процесс создан 10:39:43 [2017.11.24]
    С момента создания 00:00:34
    parentid = 476
    SHA1 B0AF9ED37972AAB714A28BC03FA86F4F90858EF5
    MD5 E8806738A575A6639E7C9AAC882374AE

    Ссылки на объект
    Ссылка HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce\uSjBVNE
    uSjBVNE C:\Documents and Settings\user\Application Data\sevnz.exe


    Образы EXE и DLL
    SEVNZ.EXE C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA


    https://www.hybrid-analysis.com/sample/b538491b57e1b51ff27d5ce6def537040011bf4b0c6c2fe20dda8be0ef5ae737?environmentId=100
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2017 PM
    Не успели стихнуть споры вокруг DDE, как ИБ-специалисты обнаружили новую проблему в Office. Так, в середине текущей недели аналитики компании Trend Micro опубликовали отчет о новом шифровальщике qkG. Малварь оказалась не совсем обычной: она шифрует исключительно документы Word. Более того, подобно червю, qkG умеет самостоятельно распространяться и далее, инфицируя другие документы на скомпрометированной машине.

    Специалисты Trend Micro рассказали, что впервые qkG был замечен в начале ноября 2017 года: тогда в VirusTotal почти ежедневно загружали подозрительные файлы, которые, как оказалось, были связаны с новым шифровальщиком. Эксперты пишут, что загрузки разных версий вредоноса осуществлялись из Вьетнама.

    Работает qkG не совсем обычно. Так, когда пользователь открывает зараженный документ Word, его хитростью вынуждают нажать на кнопку «Enable Editing», которая разрешит выполнение макроскриптов. В случае qkG – это будет VBA-код, которым снабжается документ. Этот аспект уже не совсем обычен, так как обычно макросы используются для загрузки пейлоада, а не сами по себе. Тем не менее, сразу после запуска кода qkG ничего подозрительного не происходит. Дело в том, что малварь использует функцию onClose, то есть вредоносный макрокод срабатывает только после закрытия документа.

    Когда жертва закрывает зараженный документ, происходит следующее. Во-первых, малварь изменяет настройки Office, разрешает программный доступ к VBA object model (AccessVBOM) и деактивирует Protected View, чтобы в дальнейшем выполнение макросов происходило автоматически (для этого малварь редактирует реестр: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV). Во-вторых, вредоносный код qkG внедряется в normal.dot – стандартный шаблон для всех документов Word. В-третьих, содержимое всех уже существующих документов на устройстве жертвы шифруется при помощи XOR, а в конец каждого документа добавляется сообщение с требованием выкупа.

    https://xakep.ru/2017/11/24/self-spreading-macro-malware/

    https://www.bleepingcomputer.com/news/security/qkg-ransomware-encrypts-only-word-documents-hides-and-spreads-via-macros/

    http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/

    https://threatpost.ru/qkg-ransomware-spreads-through-macros/23399/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2017 PM
    A new variant of the BTCWare ransomware was discovered by Michael Gillespie, that appends the .[email]-id-id.shadow extension to encrypted files. The BTCWare family of ransomware infections targets its victims by hacking into poorly protected remote desktop services and manually installing the ransomware.

    Below is a brief summary of changes in this new Shadow btcware ransomware variant.

    What's New in the Shadow Ransomware BTCWare Variant

    Not much has changed with this new variant other than the email addresses a victim should contact the developer with and the extension appended to encrypted files. In this version, the contact email address is now [email protected], which is listed in the ransom note below.
    [/email]
    Новый вариант BTCWare ransomware был обнаружен Майклом Гиллеспи, который добавляет расширение [e-mail] -id-id.shadow к зашифрованным файлам. Семейство шифраторов BTCWare нацелено на жертв, путем взлома плохо защищенных служб удаленных рабочих столов и ручной установки вымогателей.

    Что нового в Shadow Ransomware Вариант BTCWare

    Не так много изменилось с этим новым вариантом, кроме адресов электронной почты, с которыми жертва должна связаться с разработчиком, и нового расширения добавленного в зашифрованные файлы. В этой версии контактный адрес электронной почты теперь является [email protected], который указан в примечании о выкупе.

    ransom-note.jpg

    File Hashes:
    SHA256: ebcc0fa9c078ed66aa49f4b4eafa97218e121733a6f700fde33c7304da199108
    

    https://www.bleepingcomputer.com/news/security/new-shadow-btcware-ransomware-variant-released/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Seems to be another incarnation of #CrySiS/#Dharma #Ransomware using extension ".write". Spotted by ID Ransomware past few days.
    Похоже, есть еще одно воплощение # CrySiS / # Dharma #Ransomware с расширением «.write».

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2018 PM
    Разрушительные вредоносные программы наносят ущерб на зимних Олимпийских играх PyeongChang 2018

    Olympic-Destroyer.jpg

    Разрушительная вредоносная программа, нацеленная на саботаж ПК, виновата в проблемах ИТ, о которых сообщалось во время церемонии открытия зимних Олимпийских игр в Пхёнчхане 2018 года.

    Проблемы, впервые представленные в пятницу британским документом The Guardian, состояли из неудачных интернет-и телевизионных систем для журналистов на местах, которые присутствовали и сообщали об открытии.

    Хотя вначале организаторы Олимпиады были спокойны, чиновники, наконец, признались в воскресенье, что ИТ-неудачи не были случайными, и их сеть стала жертвой злонамеренной и скоординированной кибер-атаки.

    Вредоносная программа не пытается украсть данные у скомпрометированных хостов

    Новые подробности об этих атаках выявились сегодня, когда исследователи безопасности подразделения Cisco Talos опубликовали новые исследования по вредоносному ПО, используемым злоумышленниками.

    По словам исследователей Cisco, злоумышленники развернули невиданные ранее вредоносные программы, направленные на уничтожение данных и уничтожение данных.

    «Похоже, что не происходит никакой фильтрации данных», - рассказали исследователи Cisco Talos Уоррен Мерсер и Пол Раскагнерс об этом вредоносном ПО, которое они назвали Olympic Destroyer. «Проанализированные образцы, похоже, выполняют только деструктивные функции».

    «Деструктивный характер этого вредоносного ПО направлен на то, чтобы сделать машину непригодной для использования, удалив теневые копии, журналы событий и пытаясь использовать PsExec & WMI для дальнейшего перемещения по окружающей среде. Это то, что мы наблюдали ранее с BadRabbit и Nyetya», Mercer and Rascagneres добавлено.

    Как происходит деструктивная атака

    Cisco проводит углубленный анализ этой угрозы, но мы кратко описали атаку Олимпийского разрушителя ниже, в простых для понимания шагах:
    ⧁ Хакеры устанавливают Olympic Destroyer в систему (исходный метод доставки в настоящее время неизвестен).
    ⧁ Olympic Destroyer разворачивает два файла (для кражи учетных данных браузеров и системных учетных данных).
    ⧁ агент сбора учетных данных браузера собирает учетные данные из Internet Explorer, Firefox и Chrome.
    ⧁ агент сбора учетных данных системы собирает учетные данные из Windows LSASS (Служба подсистемы локальной безопасности) с помощью технологии, аналогичной той, которая используется Mimikatz.
    ⧁ Olympic Destroyer проверяет таблицу ARP для локальных хостов.
    ⧁ Olympic Destroyer использует WMI для поиска других хостов в одной сети.
    ⧁ Olympic Destroyer распространяется на другие хосты с помощью украденных учетных данных и использования жестко запрограммированных учетных данных, хранящихся в его двоичном формате (с использованием законного инструмента PsExec).
    ⧁ Деструктивное поведение начинается с исходного хоста с помощью VSSAdmin для удаления копий теневого тома (препятствует будущему восстановлению данных).
    ⧁ Olympic Destroyer использует cmd.exe и WBAdmin.exe для тихого удаления каталога резервных копий ОС (препятствует будущему восстановлению данных).
    ⧁ Olympic Destroyer использует cmd.exe и BCEdit.exe, чтобы отключить консоль восстановления Windows перед загрузкой (ОС не пытается восстановить себя).
    ⧁ Olympic Destroyer удаляет журналы событий системы и безопасности Windows, чтобы скрыть свои следы.
    ⧁ Olympic Destroyer отключает все службы Windows на ПК.
    ⧁ Олимпийский разрушитель выключает машину, оставляя ее не в состоянии начать.

    Следует отметить, что Olympic Destroyer не удаляет файлы жертвы. Данные остаются нетронутыми, но при попытке загрузки система столкнется с ошибками, главным образом из-за того, что многие важные службы Windows отключены.

    https://www.bleepingcomputer.com/news/security/destructive-malware-wreaks-havoc-at-pyeongchang-2018-winter-olympics/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2018 PM
    ID Ransomware spotted a new extension for #Dharma #Ransomware yesterday - ".id-<id>.[<email>].arrow"

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2018 PM
    Looks like #Cryakl #Ransomware has updated to v1.5.1.0. ID Ransomware picked up on example file named "[email protected] http://1.5.1.0.id -1614714137-578233478334310455516964.fname-README.txt.doubleoffset"

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • В начале месяца румынская полиция и Европол арестовали командные серверы, управляющие кампанией набирающего популярность вымогателя GandCrab. Но авторы шифровальщика быстро исправили вредоносную программу и снова взялись за старое.
    Согласно недавнему исследованию от Check Point, злоумышленники заразили GandCrab более 50 000 пользователей, преимущественно из США, Великобритании и Скандинавии. За два месяца вымогательства преступникам удалось выманить у своих жертв 600 000 долларов США. Напомним, это первый шифровальщик, который требует выкупа в криптовалюте DASH.

    «GandCrab — самая известная программа-вымогатель в 2018 году. По нашим данным, ее авторам удалось охватить огромное количество устройств», — отметил руководитель по исследованию безопасности компании Check Point Янив Балмас (Yaniv Balmas).

    Он также опроверг распространенное мнение о том, что злоумышленники постепенно отказываются от шифровальщиков в пользу добычи криптовалюты. Как считает исследователь, вымогательство остается одним из самых легких способов нелегального заработка, и количество жертв шифровальщиков вряд ли снизится в ближайшее время.

    Изучив первые и более поздние версии GandCrab, специалисты Check Point пришли к выводу, что для того, чтобы неизменно получать прибыль и оставаться на шаг впереди экспертов по кибербезопасности, авторы зловреда используют совершенно новый подход к разработке вредоносных программ.

    https://threatpost.ru/gandcrab-ransomware-crooks-take-agile-development-approach/25082/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2018 PM
    New Bip Dharma Ransomware Variant Released
    Today, Michael Gillespie noticed what appeared to be a new variant of the Crysis/Dharma Ransomware uploaded to his ID-Ransomware site. Jakub Kroustek then discovered some samples to confirm that it was indeed a new Dharma variant. This new version will append the .Bip extension to encrypted files. It is not known exactly how this variant is being distributed, but in the past Dharma is typically spread by hacking into Remote Desktop Services and manually installing the ransomware.

    When the Bip ransomware variant is installed, it will scan a computer for data files and encrypt them. When encrypting a file it will append an extension in the format of .id-[id].[e-mail].bip. For example, a file called test.jpg would be encrypted and renamed to test.jpg.id-BCBEF350.[[email protected]].bip.

    It should be noted that this ransomware will encrypt mapped network drives, shared virtual machine host drives, and unmapped network shares. So it is important to make sure your network's shares are locked down so that only those who actually need access have permission.

    Сегодня Майкл Гиллеспи заметил, что появился новый вариант Crysis / Dharma Ransomware, загруженный на его сайт ID-Ransomware. Затем Якуб Крустек обнаружил несколько образцов, чтобы подтвердить, что это действительно новый вариант Дхармы. Эта новая версия добавит расширение .Bip к зашифрованным файлам. Неизвестно, как именно этот вариант распространяется, но в прошлом Dharma обычно распространяется путем взлома Служб удаленных рабочих столов (RDP) и ручной установки шифратора.

    Псоле установки Bip ransomware сканирует компьютер на файлы данных и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .bip. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .bip.

    Следует отметить, что этот вариант шифратора будет шифровать подключенные сетевые диски, общие виртуальные машины и не распределенные сетевые ресурсы. Поэтому важно убедиться, что ваши сетевые ресурсы заблокированы, так что только те, кому действительно нужен доступ, имеют разрешение.

    https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    +
    New variant of #Dharma #Ransomware spotted on ID Ransomware using extension ".id-<id>.[<e-mail>].cmb".




    New Cmb Dharma Ransomware Variant Released

    Распространяется через взломанные службы удаленного рабочего стола (RDP)

    Семейство Dharma Ransomware, включая и вариант Cmb, устанавливается вручную злоумышленниками, после взлома систем через службы удаленного рабочего стола (RDP). Нападающие сканируют Интернет для компьютеров, на которых работает RDP, обычно на TCP-порт 3389, а затем пытаются переустановить пароль доступа для данного компьютера.

    Как только они получат доступ к компьютеру, они установят ransomware и начинают шифровать компьютер. Если злоумышленники могут зашифровать другие компьютеры в сети, они также попытаются это сделать.

    Когда установлен вариант Ransomware Cmb, он сканирует компьютер на файлы и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .cmb. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .cmb.

    https://www.bleepingcomputer.com/news/security/new-cmb-dharma-ransomware-variant-released/
    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы:
    .cesar;
    .arena;
    .cobra;
    .java;
    .write;
    .arrow;
    .bip
    .cmb/.combo
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2018 PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Less than a week, and there's yet another version of the #CrySiS #ransomware - extension ".gamma" (".id-%ID%.[[email protected]].gamma") + ransomnotes in "FILES ENCRYPTED.txt". https://www.virustotal.com/#/file/d981e96ffbc7a18c28abf4c1cb18f48235f1e72b43c4b48b9a17be5926c98d03/detection
    Менее чем за неделю, и есть еще одна версия #CrySiS #ransomware-расширение ". Gamma" (".id-% ID%. [ [email protected]]. Gamma ") + записка о выкупе в" Files encrypted. txt ". https://www.virustotal.com/#/file/d981e96ffbc7a18c28abf4c1cb18f48235f1e72b43c4b48b9a17be5926c98d03/detection

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Another day, another new #CrySiS/#Dharma #ransomware varianta - this time with ".monro" extension and usual "FILES ENCRYPTED.txt" & "Info.hta" ransom notes. Email "[email protected]" (@gexcolo). https://www.virustotal.com/#/file/cfe361dbf996d6badb73c2873ae2d68beacc11c633b224276ad77f5eb7e87c3c/detection … + https://beta.virusbay.io/sample/browse/0bac30f9c6da0ca96dc28d658ec2ecf4
    Еще один день, еще один новый вариант # CrySiS / # Dharma #ransomware - на этот раз с расширением «.monro» и обычными «FILES ENCRYPTED.txt» и «Info.hta» выкупками. Электронная почта "[email protected]" (@gexcolo).

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2018 PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    Another #CrySiS/#Dharma #ransomware variant. This time with ".btc" file extension + Info.hta + "FILES ENCRYPTED.txt" + email "[email protected]". Yet another ransomware using this extension. https://www.virustotal.com/#/file/83870dd4c1c44775e9c3aa5d5bd4abce782cb07f3454de4a82bf24f26381d947/detection …, unpack: https://www.virustotal.com/#/file/0b928b308f9cb448d88ea0c4e50dc668baaecce80a3d5d2424c1092bb70e9d7e/detection
    Другой вариант # CrySiS / # Dharma #ransomware. На этот раз с расширением файла .btc + Info.hta + «FILES ENCRYPTED.txt» + адрес электронной почты «[email protected]».

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    Jakub Kroustek found a new CrySiS/Dharma variant that appends the .bgtx extension and drops ransom notes named Info.hta and FILES ENCRYPTED.txt.



    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar;
    .arena;
    .cobra;
    .java;
    .write;
    .arrow;
    .bip
    .cmb/.combo
    .brrr
    .gamma
    .monro
    .bkp
    .btc
    .bgtx
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    новый вариант CrySiS; файлы зашифрованы с расширением .FUNNY,

    например,

    Port3NaPochtu.epf.id-8ADB6DDA.[[email protected]].FUNNY

    FILES ENCRYPTED.txt:
    all your data has been locked us
    You want to return?
    write email [email protected]

    info.hta:
    All your files have been encrypted!
    All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
    Write this ID in the title of your message 8ADB6DDA
    In case of no answer in 24 hours write us to theese e-mails:[email protected]
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
    Free decryption as guarantee

    Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

    How to obtain Bitcoins

    The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
    https://localbitcoins.com/buy_bitcoins
    Also you can find other places to buy Bitcoins and beginners guide here:
    http://www.coindesk.com/information/how-can-i-buy-bitcoins/

    Attention!

    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


    p9sn596ahnig.jpg

    hybrid-analysis.com

    на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
    .cesar;
    .arena;
    .cobra;
    .java;
    .write;
    .arrow;
    .bip
    .cmb/.combo
    .brrr
    .gamma
    .monro
    .bkp
    .btc
    .bgtx
    .waifu
    .FUNNY
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    И еще один вариант ... #CrySiS / #Dharma #ransomware - расширение «.vanss» - электронная почта «[email protected]» - примечания в «Info.hta» и «FILES ENCRYPTED.txt».

    And another variant... #CrySiS / #Dharma #ransomware - extension ".vanss" - email "[email protected]" - notes in "Info.hta" and "FILES ENCRYPTED.txt". #VMProtect. https://www.virustotal.com/#/file/4fcaca23e9cfb7e5448f41bb520c9c35c68fd795ac6b3707d0c64cf92738acf2/detection … Cc @demonslay335

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2018 PM
    A day after Bitdefender released a decryption tool, the GandCrab team released v5.0.5 of the ransomware, for which the decrypter is useless.
    На следующий день после того, как Bitdefender выпустил инструмент дешифрования, команда GandCrab выпустила v5.0.5 шифратора, для которого decrypter уже не работает.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.