понедельник, 2 января 2017 г.

GOG

GOG Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, другое: GOG1. Разработчик: GOG. 

© Генеалогия: EDA2 >> GOG

К зашифрованным файлам добавляется расширение .L0CKED 
Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: текстовый файл DecryptFile.txt и изображение random.jpg, встающее обоями рабочего стола. 

Содержание записки о выкупе:
WARNING!!!
@ NOT YOUR LANGUAGE? USE https://translate.google.com
@ What happened to your files?
@ All of your files were protected by a strong encryption with RZA4096
@ More information about the encryption keys using RZA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ How did this happen?
@ Specially for your PC was generated personal RZA4096 Key, both publik and private.
@ ALL YOUR FILES were en-Crypted with the publik key, which has been transferred to your computer via the Internet.
@ Decrypting of your files is only possible with the help of the privatt key and de-crypt program, which is on our Secret Server
@ What do I do?
@ So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW!, and restore
your data easy way
@ If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
@ Your personal ID: Open DecryptFile.txt
@ For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html
@ If for some reasons the addresses are not available, follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - xxxx://y6wb5h3ksb6hppeh.onion/service.html
4 - Follow the instructions on the site
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Ошибки в тексте:
Я исправил лишь ошибки пунктуации, но не тронул ряд слов, которые есть в оригинале записки. Они могут послужить характерным признаком для опознания стиля вымогателей.  

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
@ НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
@ Что случилось с файлами?
@ Все ваши файлы были защищены сильным шифрованием с RZA4096
@ Более подробную информацию о ключах en-Xryption с использованием RZA4096 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ Как это произошло?
@ Специально для вашего ПК был создан персональный RZA4096 ключ, как publik и частный.
@ Все файлы были en-Crypted с помощью ключа publik, который был передан на компьютер через Интернет.
@ Дешифрование файлов возможно только с помощью ключа privatt и de-crypt программы, которая находится на нашем секретном сервере 
@ Что мне делать?
@ Есть два способа, которые вы можете выбрать: ждать чуда и получить удвоенную цену, или начать приобретать биткоины!, и восстановить ваши данные простым способом
@ Если у вас есть действительно ценные данные, то лучше не тратить свое время, потому что нет никакого другого пути, чтобы получить ваши файлы, кроме сделать оплату
@ Ваш персональный ID: откройте DecryptFile.txt
@ Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, ниже есть несколько различных адресов, указывающих на вашу страницу:
хххх://y6wb5h3ksb6hppeh.onion/service.html
хххх://y6wb5h3ksb6hppeh.onion.to/service.html
@ Если по каким-то причинам адреса недоступны, выполните следующие действия:
1 - Загрузка и установка Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустите браузер
3 - Введите в адресной строке - хххх://y6wb5h3ksb6hppeh.onion/service.html
4 - Следуйте инструкциям на сайте
Обязательно скопируйте свой личный ID и ссылку на инструкции в ваш блокнот, чтобы не потерять их.
Страница с сайта оплаты выкупа

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
GOG.exe - исполняемый файл вымогателя
\Desktop\DecryptFile.txt - записка о выкупе
random.jpg - изображение на рабочий стол

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/createkeys.php
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/savekey.php
xxxx://81.4.122.134/imagini/xok.jpg - загрузка изображения на обои
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *