понедельник, 3 апреля 2017 г.

GX40

GX40 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,07214 биткоинов, чтобы вернуть файлы. Оригинальное название: GX40. Другое указано на файле: Ransomeware. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Находится в разработке. Образец этого крипто-вымогателя обнаружен в начале апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступают два экрана, где описаны требования вымогателя. 

Содержание записок о выкупе ("грамота оригинала"):
(1)
YOUR FILE HAS ENCRYPTE GX40
All of your important files has been encrypted by Ransomware
OPEN NOTICE
GX40 Ransomeware
Contact me to make payment and make sure to attach yor identifier
GX40@YAHOO.COM
IDENTIFIER: c12f6c75d1acd04225966711646a2d5d 
'COPY'
'RESTORE'

(2)
NOTICE 
by : GX40
All Your Personal Files Are Encrypted
All your data (photos, documents, and other files) have been encrypted with a private and unique key generated fot this computer. It means that yout will not be able to access your files anymore until they're decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoint to a unique address that we generated for you. Bitcoins are a virtual currency to make online payments. IF you don't know to get Bitcoins, you can google "HOW TO BUY BITCINS" and follow the instructions.
YOU ONLY HAVE 2 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to $80. Also, if you dont pay in 7 days, your unique key wil be destroyed and you wont be able to recover your files anymore.
To recover your files and unlock your computer, you mush send 0.07214 BTC or 80 USD, to the next Bitcoin address : 12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn
WARNING!
DO NOT TRY GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS. 

Перевод записок на русский язык:
(1)
ТВОЙ ФАЙЛ ЗАШИФРОВАН GX40
Все твои важные файлы зашифрованы Ransomware
ОТКРЫТЬ СООБЩЕНИЕ
GX40 Ransomeware
Контакт со мной для платежа и не забудь добавить свой идентификатор
GX40@YAHOO.COM
IDENTIFIER: c12f6c75d1acd04225966711646a2d5d 
'COPY'
'RESTORE'

(2) 
УВЕДОМЛЕНИЕ
от: GX40
Все ваши личные файлы зашифрованы
Все ваши данные (фото, документы и другие файлы) были зашифрованы с помощью открытого и уникального ключа, созданного на этом компьютере. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах и единственный способ получить ключ для расшифровки ваших файлов - сделать платеж.
Платеж должен быть выполнен в Bitcoint по уникальному адресу, который мы создали для вас. Биткоины - это виртуальная валюта для онлайн-платежей. Если вы не знаете, как получить биткоины, вы можете найти "HOW TO BUY BITCINS" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 2 ДНЯ, ЧТОБЫ ЗАПЛАТИТЬ! Когда указанное время закончится, платеж будет увеличен до $80. Кроме того, если вы не заплатите за 7 дней, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.
Чтобы восстановить файлы и разблокировать компьютер отправьте 0.07214 BTC или 80 USD на следующий биткойн-адрес:
12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ОСВОБОДИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБЫЕ ДЕЙСТВИЯ, ПРИНЯТЫЕ ДЛЯ ЭТОГО, ПРИВЕДУТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. СОХРАНИТ ВАШИ ФАЙЛЫ ТОЛЬКО СЛЕДОВАНИЕ ИНСТРУКЦИЯМ.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются только файлы на рабочем столе. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
GX40 - PayPal Validator.exe
GX40.exe
GX40 - Ransomeware Builder.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.academyx40.com/
GX40@YAHOO.COM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Обновление от 8 апреля 2017:
Крипто-строитель (крипто-конструктор) GX40
Пост в Твиттере >>
Файл: GX40 - Ransomeware Builder.exe
Расширение для файлов: .encrypted
Результаты анализов: VT
<< Скриншот



Обновление от 19 апреля 2017:
Версия: 2.1
Результаты анализов: VT

Обновление от 1 мая 2017:
Пост в Твиттере >>
Файл: System.exe
Фальш-копирайт: Microsoft
Сумма выкупа: 0.1 BTC
Email: ACADEMYX40@YAHOO.COM
Результаты анализов: VT


Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GX40)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Jakub Kroustek
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *