вторник, 18 октября 2016 г.

AiraCrop

AiraCrop Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от части добавляемого расширения. Создан: TeamXRat. Португалоязычная версия более известна под названием NMoreira (Fake Maktub) Ransomware

© Генеалогия: XRat  > NMoreira > AiraCrop или NMoreira ⇔ AiraCrop

К зашифрованным файлам добавляются расширения: 
.airacropencrypted! (середина октября 2016)
.__AiraCropEncrypted! (октябрь 2016)
._AiraCropEncrypted (ноябрь 2016)

Оригинальное имя файла и расширения не изменяются. 
Пример зашифрованного файла Документы.rar.__AiraCropEncrypted! 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: How to decrypt your files.txt

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files visit one of the link and enter your key;
хттпs://6kaqkavhpu5dln6x.onion.to/
хттпs://6kaqkavhpu5dln6x.onion.link/
хттпs://mvy3kbqc4adhosdy.onion.to/
хттпs://mvy3kbqc4adhosdy.onion.link/
Alternative link:
хттп://6kaqkavhpu5dln6x.onion
хттп://mvy3kbqc4adhosdy.onion
To access the alternate link is mandatory to use the TOR browser available on the link
хттпs://www.torproject.org/download/download
Key:
D0809D7FF155EDB51834550***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. С помощью шифрования AES256-бит и RSA-2048-бит.
Потому невозможно восстановить файлы без правильного секретного ключа.
Если вы заинтересованы в получении ключа, то посетите одну из ссылок и введите ключ.
***6kaqkavhpu5dln6x.onion.to/
***6kaqkavhpu5dln6x.onion.link/
***mvy3kbqc4adhosdy.onion.to/
***mvy3kbqc4adhosdy.onion.link/
Альтернативная ссылка:
***6kaqkavhpu5dln6x.onion
***mvy3kbqc4adhosdy.onion
Для доступа к альтернативной ссылке используйте Tor-браузер, доступный по ссылке
***torproject.org/download/download
Ключ:
D0809D7FF155EDB51834550 ***

В некоторых вариантах записок упоминается email вымогателей: airacrop@vpn.tg . Он также есть на Tor-сайте вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .bmp, .cat, .chm, .csv, .dat, .db, .DeskLink, .doc, .gif, .gitignore, .h, .ico, .inf, .jpg, .lic, .log, .MAPIMail, .ppt, .py, .pyc, .pyd, .pyo, .sam, .shw, .sst, .sys, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpl, .xls, .xml, .ZFSendToTarget ...
Также файлы документов, архивы. 

Файлы, связанные с AiraCrop Ransomware:
How to decrypt your files.txt - в разных директориях
<random_name>.exe
<random_name>

Записи реестра, связанные с AiraCrop Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание! 
Для зашифрованных файлов есть декриптер.


Инструкция прилагается. 

Read to links: 
ID Ransomware (ID as NMoreira)
Topic on BC
 Thanks: 
 Michael Gillespie 
 al1963
 xXToffeeXx
 Fabian Wosar

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *