среда, 23 ноября 2016 г.

OzozaLocker

OzozaLocker Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное (см. скриншот). Есть и второе: CryptoSolution. Разработчик: некий vadim. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Образец этого криптовымогателя был найден в ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В коде замечены русские слова. 

Записки с требованием выкупа называются:
HOW TO DECRYPT YOU FILES.txt

Содержание записки о выкупе:
Files has been encrypted.
If you want to decrypt, please, send 1 bitcoin to address 
1J6X2LzDrLyR9EoEDVJzogwW5esq5DyHRB and write me to e-mail: 
Santa_helper@protonmail.com
You key: QkhBdHhZN***

Перевод записки на русский язык:
Файлы были зашифрованы.
Если хочешь дешифровать, то пошли 1 Bitcoin на адрес: 
1J6X2LzDrLyR9EoEDVJzogwW5esq5DyHRB и напиши мне на email: 
Santa_helper@protonmail.com
Твой ключ: QkhBdHhZN***

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы (документы, базы данных, PDF, фото, музыка, видео, общие сетевые папки и пр.), кроме имеющих расширения .exe и .dll.

Кроме того шифруется даже записка о выкупе, исходную копию которой пришлось восстаналивать из ресурсов. 

Файлы, связанные с этим Ransomware:
CryptoSolution.exe
HOW TO DECRYPT YOU FILES.txt
autoclick.log
message.vbs
autoclick.log
autoexec.bat
config.sys
fastforward.log
script.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
91.107.107.186 (Россия, Москва, Люберцы)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Ransom.OzozaLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптер

Инструкция: Для использования декриптера вам потребуется зашифрованный файл, размером не менее 510 байт, а также его незашифрованная версия. Для запуска декриптера выберите зашифрованный и незашифрованный файлы и перетащите их на исполняемый файл декриптера. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OzozaLocker)
 Emsisoft Decrypter
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Fabian Wosar 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *