BandarChor / Criakl / Rakhni (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

BandarChor / Criakl / Rakhni (Crypto-Ransomware)

Message par Malekal_morte » 17 févr. 2016 21:31

"virus-encoder" est un Crypto-Ransomware (ransomware Chiffreurs de fichiers) qui existe sous plusieurs variantes et actifs depuis plusieurs mois. Il ne semble pas baptisé par un nom particulier par les éditeurs d'antivirus. D'après ce que j'ai pu voir, il existe sous divers langage : VB6, MSIL etc. On a donc ici, plutôt affaire à des pirates moins professionnels qui agissent dans les forums underground, piquent ou achètent des packages de ransomwares pour mener leurs campagnes.
Il n'en reste pas moins, que ces campagnes de ransomware font des dégâts.

Certaines de ces variantes sont liés au Ransomware Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure).

L'utilitaire de récupération de fichiers de Kaspersky pour ce type de ransomware est : Utilitaire RakhniDecryptor pour lutter contre le programme malveillant Trojan-Ransom.Win32.Rakhni (.oshit et autres)
D'autres utilitaires sur la page : Decrypt Tools Ransomware


!
Certains groupes sont spécialisés sur les attaques de serveur d'entreprises à travers des attaques par force brute RDP.
.
Plus d'informations : Piratage de serveur Windows par Terminal Server.

Image


Le message est relativement identique selon les variantes, la première phrase indique que Windows a été infecté par un "virus encoder".
Les emails utilisés sont essentiellement avec des adresses en :
@aol.com
@decryptfiles.com
@india.com
@protonmail.com
@mail.ru
@techie.com
@exploit.im
@hackermail.com




virus encoder sosdecryptfiles
Image

virus encoder FUD@INDIA.COM
Image

dernièrement info@cryptedfiles :

Image

Les fichiers comportent un id et l'adresse email à contacter - exemple : RELEVE D'INFORMATIONS.PDF.id-6654782581_info@cryptedfiles.biz

Voir aussi autre exemple avec Ransomware .Crysis.

Image

Le crypto-ransomware est capable de lister les ressources réseaux pour s'attaquer aux partages et y chiffrer les documents.

Récupérer les fichiers

Tentez le crypton decryptor de Emsisof : Decrypt Tools.
Tentez le Rakhni de noransomware.org.
Plus d'informations, suivez et surveillez la page : Decrypt Tools Ransomware.


Si votre Windows a été infecté par le virus-encoder

Le ransomware Locky ne semble pas être persistent, c'est à dire qu'il ne charge pas à s'installer au démarrage de Windows pour être chargé dans le système.
Ce dernier semble chiffrer les documents, se fermer.
Néanmoins, il est conseillé de désinfecter son ordinateur.
Un Nettoyage Malwarebytes Anti-Malware peut s'avérer utile.


Téléchargez et installez Malwarebytes Anti-Malware. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettez Malwarebytes Anti-Malware à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.

Pour le moment, il n'y a pas de solution pour récupérer les documents.

Si vous avez besoin d'aide, créé un sujet dans la partie Virus du forum : Désinfection personnalisée Malware

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware "virus-encoder" (Crypto-Ransomware)

Message par Malekal_morte » 04 mars 2016 15:44

Autre variante,


Microsoft et Antivir le nomme : Ransom:Win32/Isda.A
Kaspersky le nomme : Trojan-Ransom.Win32.Aura

SHA256: 6d845f8acf5eacd8cbe23b88a425c88b43400cfd9ca89767bc3972998b8393db
Nom du fichier : f2c668f8c16186f2e16c3fa745a27c64124993fe.exe
Ratio de détection : 12 / 54
Date d'analyse : 2016-03-04 13:31:26 UTC (il y a 0 minute)

Avast Win32:Malware-gen 20160304
Avira (no cloud) TR/Isda.382464 20160304
Bkav HW32.Packed.216C 20160304
ESET-NOD32 Win32/Filecoder.DG 20160304
Fortinet W32/Filecoder.DG!tr 20160304
Kaspersky Trojan-Ransom.Win32.Aura.adr 20160304
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fc 20160304
Microsoft Ransom:Win32/Isda.A 20160304
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160304
Sophos Mal/Generic-S 20160304
Symantec Suspicious.Cloud.9.B 20160303
Dans le sample observé, l'adresse email utilisée est bingo@opensourcemail.org ainsi que hyip-revenue@protonmail.com

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware "virus-encoder" (Crypto-Ransomware)

Message par Malekal_morte » 07 mars 2016 15:18

Une autre variante avec une extension .xtbl
Voir les fiches de suppression : Le mail de paiement se fait à l'adresse : redshitline@india.com et redshitline@aol.com

Image

Image

et un fichier How to decrypt your files.txt contenant les instructions :
Image

SHA256: ba3583b5ad605d324fe001020581109666e4a0924740e5a9095d727ea1876eea
Nom du fichier : doc99402.scr
Ratio de détection : 5 / 54
Date d'analyse : 2016-03-07 13:17:09 UTC (il y a 4 minutes)

Antivirus Résultat Mise à jour
AegisLab Troj.W32.VB 20160307
ByteHero Virus.Win32.Heur.p 20160307
Kaspersky UDS:DangerousObject.Multi.Generic 20160306
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160307
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160307


~~

Ransomware .XTBL toujours actif et visant les serveurs : fichiers cryptés en .XTBL par un virus
Exension en : {a_princ@aol.com}.xtbl.

ou encore vegclass@aol.com et greebin@india.com

Radical des fichiers chiffrés en :
Image

Image

SHA256: 85ad1270a7ef2637cdf56f9deeab2a7bb88488be1b19babe7e6372e57a0d7b6d
File name: 85ad1270a7ef2637cdf56f9deeab2a7bb88488be1b19babe7e6372e57a0d7b6d.exe
Detection ratio: 13 / 56
Analysis date: 2016-04-14 08:58:45 UTC ( 32 minutes ago )

Antivirus Result Update
AegisLab Troj.W32.Gen.kYLC 20160414
Avast Win32:Malware-gen 20160414
Baidu Win32.Trojan.WisdomEyes.151026.9950.9959 20160414
ESET-NOD32 Win32/Filecoder.NFY 20160414
Emsisoft Backdoor.Win32.Androm (A) 20160414
Fortinet W32/Kryptik.EUBU!tr 20160413
Kaspersky Backdoor.Win32.Androm.jlfx 20160414
Malwarebytes Trojan.Agent 20160414
McAfee Artemis!14FF6A1CAFA5 20160414
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dc 20160414
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160414
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160414
Tencent Win32.Trojan.Inject.Auto 20160414


Possible decrypter .XTBL, à l'adresse : http://esec-pentest.sogeti.com/posts/20 ... lware.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware "virus-encoder" (Crypto-Ransomware)

Message par Malekal_morte » 28 mars 2016 11:40

Autre exemple avec l'extension .id_%x%x_email_xerx@usa.com.scl

Le sample récupéré n'était plus fonctionnel.
Le fichier HELP_YOUR_FILES comprenant les instructions de paiement :
NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-2048 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions:
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAIL1:pchelp@post.com
E-MAIL2:xerx@usa.com

YOUR_ID: 6a406277b0e935d
HELP_YOUR_FILES.png
HELP_YOUR_FILES
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware BandarChor / Criakl / Rakhni (Crypto-Ransomwa

Message par Malekal_morte » 01 avr. 2016 11:15

Vu sur cet article : http://phishme.com/ransomware-rising-criakl-osx-others/ qui détaille une campagne d'emails malicieux poussant un de ces ransomwares "virus-encoder".
L'article nomme se ransomware Criakl Ransomware.

On trouve effectivement une fiche chez Microsoft Ransom:Win32/Criakl qui correspond à ce type de Ransomware.
D'après mes observations, il semble y avoir plusieurs codes différents, pas dit que tous soit du Ransom:Win32/Criakl

Chez d'autres éditeurs : Rakhni (Kaspersky), BandarChor (F-Secure)
Ransom_Win32_Criakl.png
Ransom: Win32/Criakl
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware BandarChor / Criakl / Rakhni (Crypto-Ransomwa

Message par Malekal_morte » 15 avr. 2016 16:51

Autre campagne avec un ransomware donnant les adresses : torrenttracker@india.com et momsbestfriend@prontonmail.com

Image

ou encore Your Files are new encrypted. I have the key to decrypt them back :

Image

Toujours les adresses d'email suivantes en contact : momsbestfriend@protonmail.com et torrenttracker@india.com.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware "virus-encoder" (Crypto-Ransomware)

Message par Malekal_morte » 24 avr. 2016 11:44

Autres variantes qui visent les serveurs Windows par attaque RDP Bruteforce.
L'adresse email de contact pour les paiements est bitcoinrush@aol.com.
Les fichiers chiffrés (cryptés) sont de la forme :
Supprimer bitcoinrush aol.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware BandarChor / Criakl / Rakhni (Crypto-Ransomwa

Message par Malekal_morte » 27 avr. 2016 19:44

Autre variante (Merci S!Ri)

L'extension utilisée est .code et est de la forme :
Image

Les instructions de paiement un fichier HELP_YOUR_FILES comme Cryptowall.

On notera les adresses emails :

Code : Tout sélectionner

E-MAIL1: xoomx@dr.com
E-MAIL2: xoomx@usa.com
et la mention RSA-2048 :

Image

La version cryptée, on retrouve le nom Ransom.Bandarchor mentionné en début de ce sujet de cette famille de raçongiciel.

SHA256: fa5f865e79dff49effac71846f8d8940e7e1ee295d041ba0f29a71d51cb112a2
File name: ransom.exe
Detection ratio: 32 / 56
Analysis date: 2016-04-27 17:42:31 UTC ( 2 minutes ago )

Antivirus Result Update
ALYac Gen:Variant.Graftor.281555 20160427
AVG Generic37.BAAK 20160427
AVware Trojan.Win32.Generic!BT 20160427
Ad-Aware Gen:Variant.Graftor.281555 20160427
Antiy-AVL Trojan[Ransom]/Win32.Blocker 20160427
Arcabit Trojan.Graftor.D44BD3 20160427
Avast Win32:Trojan-gen 20160427
Baidu Win32.Trojan.WisdomEyes.151026.9950.9984 20160427
BitDefender Gen:Variant.Graftor.281555 20160427
Cyren W32/Trojan.KBWC-2017 20160427
DrWeb Trojan.DownLoader21.30435 20160427
ESET-NOD32 a variant of Win32/Kryptik.EVEU 20160427
Emsisoft Gen:Variant.Graftor.281555 (B) 20160427
F-Secure Gen:Variant.Graftor.281555 20160427
Fortinet W32/Blocker.EVEU!tr 20160427
GData Gen:Variant.Graftor.281555 20160427
Ikarus Trojan.Win32.Crypt 20160427
K7AntiVirus Riskware ( 0040eff71 ) 20160427
K7GW Riskware ( 0040eff71 ) 20160427
Kaspersky Trojan-Ransom.Win32.Blocker.iglv 20160427
Malwarebytes Ransom.Bandarchor 20160427
McAfee RDN/Ransom 20160427
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.ch 20160427
eScan Gen:Variant.Graftor.281555 20160427
NANO-Antivirus Trojan.Win32.DownLoader21.ebsdrw 20160427
Panda Generic Malware 20160427
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160427
Rising Ransom.Blocker!8.12A (Cloud) 20160427
Sophos Mal/Generic-S 20160427
Tencent Win32.Trojan.Blocker.Pfsy 20160427
TrendMicro TROJ_GEN.R00XC0VDQ16 20160427
VIPRE Trojan.Win32.Generic!BT 20160427
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: BandarChor / Criakl / Rakhni (Crypto-Ransomware)

Message par Malekal_morte » 15 mars 2017 13:37

Variante dharma, Skanda etc.

Toujours actif avec des variantes [bitcoin143@india.com].dharma".
Fichiers instructions README.txt et README.jpg
et un fichier du type Skanda 23.exe

tyhum_makarena@aol.com
ssama@india.com.wallet
mk.kitana@aol.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: BandarChor / Criakl / Rakhni (Crypto-Ransomware)

Message par Malekal_morte » 22 mars 2017 17:38

Autre variante qui attaque les serveurs par RDP :
extension .wallet
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85482
Inscription : 10 sept. 2005 13:57
Contact :

Re: BandarChor / Criakl / Rakhni (Crypto-Ransomware)

Message par Malekal_morte » 18 mai 2017 21:01

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

ESET aussi https://download.eset.com/com/eset/tool ... ryptor.exe

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité