вторник, 6 сентября 2016 г.

N1N1N1

N1N1N1 Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью ???, а затем требует пройти по ссылке в Tor-браузере за инструкциями. В итоге выкуп будет в 1,5 биткоина или более, или менее.  
  
  К зашифрованным файлам в код добавляется n1n1n1Название от него. 

Оригинальное расширение зашифрованных файлов не меняется, только после имени добавляется 8-9 случайных символов по шаблону: <original_file_name><8-9_random_characters>.<original_file_extension>

Записки с требованием выкупа называются: how return files.txt и how return files.html. Они размещаются в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
If you don't speak english then use public online translators https://translate.google.com or https://www.bing.com/Translator or https://www.translate.com

Your files encrypted.
To decrypt and return control to all your encrypted files you need:
1) Go to https://www.torproject.org/download/download-easy.html.en . Download Tor browser for windows.
     If you can't open this page then go to https://www.torproject.org and click on button Download.
     It will redirect you to page where you can find "Tor Browser for Windows".  Download it.
     If you still can't download or run tor browser then download, unpack and run the most stable tor browser version here:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Install it and run it.
3) Type in the address bar www.hs5br44fuvaazn72.onion/start.php and open our secret website.
4) Secret website will ask you to input your public key.
5) Enter your public key and follow the instructions.

Your public key: ***

If you have any problems while downloading or installing tor browser or opening secret tor site then if you have antivirus then remove or disable it (antivirus can prohibit open tor browser) or try use other computer.
Don't forget that you can browse www.youtube.com and search videos with tor browser installation process.
If you still can't open this secret page then
1) Go to https://mail.google.com (use your usual browser: (firefox, google chrome, ...)
2) If you don't have ...@gmail account then sign up. You will get google (gmail) account.
3) Compose letter and send it to strongonion@sigaint.org
   In letter you need type us your public key (see public key above).
4) Soon (in 1 or 2 days), we will send you instructions what you need to do to decrypt your files.

Small remark:
You can compose and send letter using other mail provider (...@aol.com ...@yahoo.com or other)
but we DON'T RECOMMEND you to do it because we are not sure that we will receive your letter!

Перевод записки на русский язык:
Если ты не говоришь по-английски, то используй онлайн-переводчики https://translate.google.com или https://www.bing.com/Translator или https://www.translate.com

Твои файлы зашифрованы.
Для дешифровки и возврата доступа ко всем твоим зашифрованным файлам нужно:
1) Перейти на https://www.torproject.org/download/download-easy.html.en. Скачать Tor-браузер для windows.
     Если не удаётся открыть этот сайт, то идти на https://www.torproject.org и нажми кнопку Download.
     Это перенаправит на страницу, где можно найти "Tor Browser for Windows". Загрузить.
     Если ещё не загрузить или не запустить Tor-браузер, то загрузи, распакуй и запусти самую стабильную версию:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Установи и запусти его.
3) Введи в адресной строке www.hs5br44fuvaazn72.onion/start.php и открой наш секретный сайт.
4) Секретный сайт попросит ввести твой открытый ключ.
5) Введи свой открытый ключ и следуй инструкциям.

Открытый ключ: ***

Если у тебя проблемы с загрузкой или установкой Tor-браузера или открытием секретного Tor-сайта, тогда может у тебя есть антивирус, то удали или отключи его (антивирус может мешать Tor-браузеру) или поюзай другой комп.
Не забывай, что можешь на www.youtube.com поискать видео с процессом установки Tor-браузера.
Если ты все еще не можешь открыть эту секретную страницу, то
1) Перейди к https://mail.google.com (используй обычный браузер (firefox, google chrome, ...)
2) Если у тебя нет ...@gmail.com почты, то зарегистрируй и получите google (gmail) аккаунт.
3) Напиши письмо и отправь на strongonion@sigaint.org
   В письме нужно написать нам свой открытый ключ (см. открытый ключ выше).
4) Скоро (за 1 или 2 дня), мы вышлем тебе инструкции, что нужно сделать для дешифровки файлов.

Небольшая ремарка:
Можешь написать и отправить письмо через иного провайдера почты (...@aol.com ...@ yahoo.com или иной), но мы НЕ РЕКОМЕНДУЕМ это делать, т.к. не будем уверены в получении твоего письма!

Распространяется с помощью email-спама и вредоносных вложений (*.PDF.exe, *.ZIP.exe), посредством атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .html, .pdf, .php и другие. 

Файлы, связанные с этим Ransomware:
<random>.exe

Сетевые подключения и связи:
www.hs5br44fuvaazn72.onion
www.uc7k2wj6526xlivj.onion
strongonion@sigaint.org
yellowfix@sigaint.org

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление на конец сентября 2016:
Записки: decipher.txt и decipher.html
Текст немного изменился: адреса и прочее.
<< Скриншот
Email: yellowfix@sigaint.org
Адрес: uc7k2wj6S26xlivj.onion



Обновление ноябрь-декабрь 2016: 
Записки: decipher.txt и decipher.html
Пример зашифрованного файла: filename[A-a,0-9]{13}.pdf
Email: smuso@sigaint.org
Адрес: ***lodkfpsyhi6btroa.onion/decipher.php


Обновление от 15 февраля 2017:
Пост в Твиттере >>
Новый маркер файлов: 333333






Топик для получения помощи >>

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *