вторник, 29 ноября 2016 г.

Locked-In, NoValid

Locked-In Ransomware 

NoValid Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название Locked-In от заголовка в записке о выкупе. Другое: NoValid - от расширения .novalid, которое добавлялось к файлам в конце ноября 2016. 

© Генеалогия: выясняется.

К зашифрованным файлам с декабря добавляется случайное расширение, причем к разным файлам разное. Таким образом, у каждого зашифрованного файла будет своё случайное расширение. 

Активность этого криптовымогателя пришлась на ноябрь -декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
RESTORE_NOVALID_FILES.HTML
RESTORE_CORUPTED_FILES.HTML

Содержание записки о выкупе:
Danger! ALL YOUR FILE HAS BEEN LOCKED.
What happened to your files?
All your files are encrypted and can be restored only afterpayment. For encryption we used persistent improved algorithm AES256.
For each file, generate a unique decryption key and adds a random number of bytes.whlch makes decryption impossible without the use of a special configuration file,which has all of the information needed to decrypt your files. After encryption, we carefully erased the old blocks on the HDD that did not have the possibility to recover files using special utilities for recovering lost files such as Recuva, etc..
What will happen if I try to restore files?
If you yourself attempt to restore a file, you break the sequence files in the system and once we get our interpreter, it will not help, as all files are encrypted in a certain order.

Перевод записки на русский язык ("грамота" сохранена):
Опасно! Все ваш файл был заперт. 
Что случилось с файлами?
Все ваши файлы зашифрованы и можно восстановить только после оплаты. Для шифрования мы использовали стойкий улучшенный алгоритм AES256.
Для каждого файла сгенерирован уникальный ключ дешифрования и добавлено случайное число байт, что делает невозможным дешифрование без специального конфигурационного файла, который имеет всю информацию, необходимую для расшифровки файлов. После шифрования мы тщательно стерли старые блоки на жестком диске, чтобы не было возможности восстановить файлы с помощью специальных утилит для восстановления потерянных файлов, таких как Recuva, и т.д..
Что будет, если я попробую восстановить файлы?
Если вы сами попытаетесь восстановить файл, вы нарушите последовательность файлов в системе, и как только мы получим наш интерпретатор, это не поможет, так как все файлы зашифрованы в определенном порядке.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpeg, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (42 расширения).
Это документы MS Office, PDF, тексты, веб-страницы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
RESTORE_NOVALID_FILES.HTML
RESTORE_CORUPTED_FILES.HTML
multibyte.exe
<random>.exe

Фальш-имя: 
Microsoft Powershell Console

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание! 
Для зашифрованных файлов есть декриптер!


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Locked-In)
 Write-up (add. December 14, 2016)
 *
 *
 Thanks: 
 Michael Gillespie
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *