воскресенье, 22 мая 2016 г.

EnCiPhErEd

EnCiPhErEd Ransomware

(шифровальщик-вымогатель)


 Этот криптовымогатель шифрует данные с помощью алгоритма XOR или TEA, т.к. относится к семейству Xorist-вымогателей. К зашифрованным файлам добавляется расширение .EnCiPhErEd. В названии расширения заложено слово "enciphered" (англ. "зашифровано"). Пример зашифрованного файла: Document.txt.EnCiPhErEd

  По завершении шифрование отображается записка с требованием выкупа HOW TO DECRYPT FILES.txt, содержащая инструкцию по уплате выкупа и получения пароля дешифровки. размещается в каждой папке с зашифрованными файлами. В одном варианте записки жертва должна отправить текстовое SMS-сообщение с ID, присвоенным компьютеру, на предложенный номер. Во втором варианте выкупа предложено перевести 2 биткоина на Bitcoin-адрес. В третьем, нужно связаться по email. 

Первый вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send an SMS with the text XXXX to YYYY number.
You have N attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте SMS с текстом ХХХХ на номер YYYY.
У вас есть N попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!

Второй вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send 2 Bitcoin to adress
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd 
and email to j73419517739xu@163.com proof (screen or smth) of your payment.
After receiving the money, I will send you your password and decrypt instruction via email.
You have 20 attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте 2 биткоина на адрес
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd
и на email j73419517739xu@163.com подтверждение (скриншот) платежа.
Получив деньги, я пошлю тебе пароль и инструкции для дешифровки по email.
У вас есть 20 попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!

Вымогатель вносит в систему ряд критических изменений, в том числе отключает восстановление системы, прописывается в Автозагрузку, чтобы выводить требования о выкупе и продолжать шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (57 расширений).

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространенности: низкая.
Подробные сведения собираются. 

Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи криптовымогателей.


Внимание!!! 
Для зашифрованных файлов есть декриптер. 


Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *