понедельник, 3 октября 2016 г.

Nuke

Nuke Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать письмо вымогателям, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .0x5bm.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей.

Примечательно, что Nuke переименовывает файлы случайным образом и добавляет расширение ".0x5bm". Например, "picture.jpg" станет "efaf + aEa00acBEba.0x5bm". Исходное имя файла вписывается в конце кода зашифрованного файла. 

Записки с требованием выкупа называются:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html


TXT-вариант записки о выкупе
HTML-вариант записки о выкупе
Скринлок, встающий обоями рабочего стола

Содержание записки о выкупе:
!! Your files and documents on this computer have been encrypted !!
** What has happened to my files? **
Your important files on your computer; photos, documents, and videos have been encrypted. Your files were encrypted using AES and RSA encryption.
** What does this mean? **
File encryption was produced using a unique 256-bit key generated specifically for this machine. Encryption is a way of securing data and requires a special key to decipher.
Unforunate for you, this special key was encrypted using an additional layer of encryption; RSA. Your files were encrypted using the public RSA key. To truly reverse the unfortunate state of your files, you need the private RSA key which is only known by us.
** What should I do next? **
For your information your private key is a paid product. If you really value your data we suggest you start acting fast because you only short amount of time to recover your files before they are gone forever.
There are no solutions to this problem, and no anti-virus software can reverse the process of file encryption because we have also erased recent versions of your files which means you cannot use file recovery software.
Modifying your files in any way can damage your files permenantly and we will no longer be able to help you. Follow our terms assigned to you below, and we will have your files recovered.
** Recovering your files **
- Send an email with the subject 'FILE RECOVERY' to opengates@india.com
- For a free test decrypt, send one small file which will decrypt free
- Wait for a response from us (up to 24-48 hours)
- We will send you further information regarding payment and full file decryption of your computer
- Receive file decryption software to decrypt every encrypted file on the hard drive

Красным выделены слова с ошибками. 

Перевод записки на русский язык:
!! Ваши файлы и документы на этом компьютере зашифрованы !!
** Что случилось с моими файлами? **
Ваши важные файлы на компьютере; фото, документы и видео были зашифрованы. Ваши файлы зашифрованы с помощью AES и RSA шифрования.
** Что это значит? **
Шифрование файлов произведено с использованием уникального 256-битного ключа, созданный специально для этой машины. Шифрование представляет собой способ защиты данных и требует специального ключа для расшифровки.
К сожалению для вас, этот специальный ключ был зашифрован с помощью дополнительного шифрования; RSA. Ваши файлы зашифрованы с использованием открытого ключа RSA. Чтобы изменить неудачное состояние ваших файлов, вам нужен закрытый ключ RSA, который известен только нам.
** Что я должен делать дальше? **
Для вашей информации ваш личный ключ является платным продуктом. Если вы правда цените ваши данные, мы предлагаем вам быстро начать действовать, потому что у вас мало времени, чтобы восстановить ваши файлы, прежде чем они пропадут.
Нет иного решения этой проблемы, а антивирус не может повернуть вспять процесс шифрования файлов, потому что мы также стерли последние версии файлов, потому вы не сможете использовать программы для восстановления файлов.
Изменение файлов в любом случае может привести к полному повреждению файлов, и мы больше не будем в состоянии помочь вам. Следуйте нашим условиям, написанным для Вас ниже, и мы обещаем, что ваши файлы будут восстановлены.
** Восстановление файлов **
- Отправить email-письмо с темой ''FILE RECOVERY" на opengates@india.com
- Для бесплатной тест-расшифровки отправьте один маленький файл, который будет расшифрован бесплатно
- Подождите ответа от нас (до 24-48 часов)
- Мы вышлем вам дополнительную информацию, по оплате и полной расшифровки файлов вашего компьютера
- Получение программы дешифрования для расшифровки каждого зашифрованного файла на жестком диске

Лингвистический анализ текста показал, что текст писал украинец. 

Email вымогателей opengates@india.com встречался и в других вымогательских кампаниях.
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Nuke Ransomware:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html
Nuke.exe

Записи реестра, связанные с Nuke Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 13 октября 2016:
Новое расширение: .nuclear55
Новые результаты анализа >>>
Новые записка о выкупе и обои для рабочего стола


Read to links: 
ID Ransomware
Topic on BC + Write-up on BC
 Thanks: 
 Michael Gillespie
 S!Ri
 MalwareHunterTeam 
 Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *