воскресенье, 5 марта 2017 г.

Lock2017

Lock2017 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону:
[file_name.file_ext].id-[UserID]__contact_me_lock2017@protonmail.com_or_lock2017@unseen.is
или
[file_name.file_ext].id-[UserID]__contact_me_[ransom_email]

Зашифрованный файл будет иметь вид:
Scan001.jpg.id-3487664600__contact_me_lock2017@protonmail.com_or_lock2017@unseen.is

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.TXT

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files? 
All of your files protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)  
How did this happen? 
!!! Specially for your PC was generated personal RSA-2048 KEY, both public and private. 
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet. 
!!! Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Secret Server.
What do I do ? 
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions! , and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.  For more specific instructions: 
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 24 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! So right now You have a chance to buy your individual private SoftWare with a low price!
Please contact me by e-mail: 
lock2017@unseen.is or lock2017@protonmail.com 
UserID: id-3487664600

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами? 
Все ваши файлы защищены сильным шифрованием с RSA-2048. Подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это произошло?
!!! Специально для вашего ПК был создан личный ключ RSA-2048, открытый и закрытый.
!!! Все ваши файлы были зашифрованы с открытым ключом, который передан на компьютер через Интернет.
!!! Дешифровать файлы можно только с закрытым ключом и программой дешифровки, которые на нашем секретном сервере.
Что мне делать?
Есть два способа, которые можете выбрать: ждать чуда и удвоить цену или отправить email для получения конкретных инструкций! и восстановить данные легким путём. Если у вас есть ценные данные, то лучше не тратить время, т.к. нет иного способа вернуть ваши файлы, кроме заплатить. 
Подробные инструкции:
Свяжитесь с нами только по email, пришлите в письме ваш ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 24 часов.
Для вашей уверенности мы можем расшифровать ваши файлы - отправьте нам один зашифрованный файл, и мы вышлем вам его расшифрованным. Это будет ваша гарантия.
Пожалуйста, не тратьте свое время! У вас только 72 часа! После этого главный сервер удвоит цену! Потому сейчас вы можете купить ваш личный частный софт по низкой цене!
Свяжитесь со мной по email:
lock2017@unseen.is или lock2017@protonmail.com
UserID: ID-3487664600

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Topic on BC (Тема помощи)
 ID Ransomware (ID as Lock2017)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *