Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 мая 2016 г.

Brazilian

Brazilian (Able) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 2000 реалов (543.88 USD), чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .lock

  © Генеалогия: EDA2 >> Brazilian (Able) — cоздан на основе EDA2. 

Записки с требованием выкупа и вспомогательные файлы для информирования жертвы называются: 
MENSAGEM.txt 
text.txt
win.txt
ran.jpg

файл ran.jpg
файл MENSAGEM.txt 
 
файл text.txt
 
файл win.txt

По ссылкам в файле MENSAGEM.txt открываются веб-страницы со следующим содержанием:
Olá Sr(a),
TODOS os seu arquivos foram BLOQUEADOS e esse bloqueio somente serão DESBLOQUEADOS caso pague um valor em R$ 2000,00 (dois mil reais) em BitCoin.
Após o pagamento desse valor, basta me enviar um print para o email contato@vkcode.ru 
que estarei lhe enviado o programa com a senha para descriptografar/desbloquear o seus arquivos.
Caso o pagamento não seja efetuado, todos os seus dados serão bloqueados permanentemente e o seu computador será totalmente formatado(perdendo assim, todas as informações contidas nele, incluindo senhas de email, bancárias...)
O pagamento deverá ser efetuado nesse endereço de bitcoin: 1CF6M1---обрезано---
Para converter seu saldo em bitcoin acesse o site: xxxxs://www.mercadobitcoin.com.br/conta/register/
Após cadastrar basta seguir o processo na aba de depósito, após depositar o seu dinheiro aparecerá a opção para converter em bitcoin e então basta enviar o dinheiro para minha carteira: 1CF6M1---обрезано---
Qualquer dúvida acesse: xxxxs://www.mercadobitcoin.com.br/faq/
Ou assista um vídeo explicativo: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No

Перевод на русский: 
Привет Сеньор(а)
Все ваши файлы зашифрованы и будут разблокированы только в случае уплаты R$ 2000,00 (2000 реалов) в Bitcoin.
После оплаты этой суммы, просто пришлите мне распечатку на email contato@vkcode.ru 
Я пришлю программу с паролем для расшифровки/разблокировки файлов.
Если оплата не поступит, все ваши данные будут заблокированы навсегда, а диски отформатированы...
Оплата должна быть произведена на Bitcoin-адрес: 
---адрес---скрыт---
Для преобразования баланса в Bitcoin посетите: xxxxs://www.mercadobitcoin.com.br/conta/register/
После регистрации следите за процессом оплаты, вскоре появится возможность конвертировать деньги в Bitcoin, а затем просто отправить деньги в Bitcoin-кошелек:
---адрес---скрыт----
По любым вопросам, пожалуйста, посетите: xxxxs://www.mercadobitcoin.com.br/faq/
Или просмотрите видео-помощь: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No


Технические детали

  Распространяется с помощью поддельного обновления Adobe Flash Player и фишинг-писем со ссылкой на зараженный сайт, где ПК атакуется с помощью этого поддельного обновления. 


  Вымогатель начинает работу в скрытом режиме (его процесс не отображается в диспетчере задач), создает копию себя able.exe в директории пользователя, генерируется имя и пароль для шифрования файлов, длина ключа составляет 15 буквенно-цифровых символов, которые хранится в файлах text.txt (имя_компьютера + имя_пользователя + пароль) и win.txt (пароль) соответственно.

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 


Файлы связанные с Brazilian Ransomware:
файл text.txt - создается в той же папке, откуда был запущен исполняемый файл вымогателя; 
C:\Users\User_Name\win.txt - файл для хранения пароля шифрования;
C:\Users\User_Name\able.exe - копия исполняемого файла вымогателя;
C:\Users\User_Name\ran.jpg - замена обоев на Рабочем столе; 

C:\Users\User_Name\Desktop\MENSAGEM.txt - краткое текстовое сообщение с извещением о том, что файлы зашифрованы и требованием посетить одну из трёх веб-страниц для получения подробной информации, например, эту http://pastebin.com/raw/j9zCCu8n. 

Сетевые подключения и связи:
Email: contato@vkcode.ru

Степень распространенности: средняя по Бразилии.
Подробные сведения собираются. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Brazilian Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *