воскресенье, 10 июля 2016 г.

El-Polocker

El-Polocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует выкуп в $450 AUD (австралийский доллар). Цели шифрования: документы, PDF, фотографии, музыка, видео, общие папки, общие сетевые ресурсы и пр. Зашифрованные файлы получают расширение .ha3


Remove El-Polocker Decrypt El-Polocker Decode Restore files Recovery data Удалить El-Polocker Дешифровать Расшифровать Восстановить файлы

Название на скринлоке: Los Pollos Hermanos (исп. "Братья-цыплята"). Известен с начала 2015 г. Специалисты нашли в коде вредоноса румынский след, указывающий на румынское происхождение вредоноса. 

Происхождения названия:  
Los Pollos Hermanos — сеть фастфуд-ресторанов с жареной курицей, известная в Мексике и юго-западе США. По английски: "The Chicken Brothers". Основатели сети: Густаво "Gus" Фринг и Максимино "Max" Арчинега. В народе ассоциируется с мафией и отмыванием денег. По мотивам истории в США был снят сериал "Breaking Bad", сюжет которого главным образом раздут и надуман. 

Записки о выкупе называются: qwer.html, qwer2.html, locked.bmp. 

Содержание текста с экрана:
Your important files have been encrypted: photos, documents, videos, etc.
If you want to decrypt your files you must pay the fee of $450 AUD
Failure to pay within the specified time will mean you must pay $1000 AUD
For support related inquires contact:
theonewhoknocks6969@mailinator.com

Перевод на русский язык: 
Ваши важные файлы зашифрованы: фото, документы, видео и т.д.
Если хотите дешифровать файлы, вы должны заплатить $ 450 AUD
Не уплатив за указанное время будете должны заплатить $1000 AUD
Для помощи свяжитесь с нами:
theonewhoknocks6969@mailinator.com

Список файловых расширений, подвергающихся шифрованию: 
.ai .crt .csv .db .doc .docm .docx .dotx .gif .jpg .jpeg .lnk .mp3 .msi .ods .one .ost .p12 .pdf .pem .pps .ppsx .ppt .pptx .psd .pst .pub .rar .raw .rtf .tif .txt .vsdx .wma .xml .xls .xlsm .xlsx .zip

El-Polocker удаляет теневые копии файлов, отключает функции восстановление системы и автоматического исправления ошибок при загрузке системы. Шифрует каждый файл данных со своим собственным симметричным ключом AES-шифрования. Этот ключ шифруется с помощью ключа RSA, который загружается с сервера вымогателей, и сохраняется в seckeys.DONOTDELETE вместе с именем файла.

El-Polocker распространяется через поддельные штрафные уведомления DHL, содержащие ссылку на файл, размещенный на DropBox, который содержит файл VBS Penalty.vbs. Если этот файл запустить, то он загрузит и выполнит скрипт PowerShell, являющийся основным компонентом вымогателя El-Polocker. Скрипт PowerShell запустившись инжектирует Reflect.dll в Explorer.exe с помощью сценария из PowerSploit, а затем выполняет VoidFunc. Эта функция загружает t.dll для выполнения зачистки на компьютере: удаления теневых копий файлов, отключения в реестре восстановление системы и автоматического исправления ошибок при загрузке Windows. 

По окончании шифрования и всех зачисток на экран выводится сообщение о выкупе, которое содержит инструкции о том, как заплатить выкуп за дешифровку.

Файлы, связанные с Ransomware:
C:\1\locked.bmp - изображение, заменяющее обои рабочего стола;
C:\1\reflect.dll - DLL, инжектируемая в Explorer.exe
C:\1\t.dll - другая инжектируемая DLL для функции зачистки;
C:\ReflectiveLoaderTest\DllMain.txt.ha3 - лог инжекции, зашифрованный El-Polocker;
%Desktop%\customer.Id - биткоин-адрес для жертвы;
%Desktop%\encrypted.htm - список зашифрованных файлов;
%Desktop%\qwer.html - записка о выкупе №1;
%Desktop%\qwer2.html - записка о выкупе №2;
%Desktop%\seckeys.DONOTDELETE - ключи шифрования для каждого зашифрованного файла. 

Записи реестра, связанные с Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 1
HKCU\Control Panel\Desktop\Wallpaper "C:\1\locked.bmp"

Подробные технические детали >>>

Степень распространенности: низкая (на данный момент).
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton