среда, 2 августа 2017 г.

LockBox

LockBox Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockBox. На файле написано: data.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширения:
.trevinomason1@mail.com.vsunit
.trevinomason1@mail.com.vsunit2

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [не указано]

Содержание записки о выкупе:
We found that all of your files are encrypted with AES-256 algorithm.
Fortunately, we can help you decrypt your files.
To help you, you must write a message to us on our email: trevinomasonl@mail.com.
In the message, you must write your PERSONAL KEY, which is written at the end of this manual, and you must also attach no more than 3 encrypted files of no more than 2 mb each.
If you didn't receive a reply within 24 hours after your message, please duplicate your message by email: salvatoreolsond598d@gmail.com
If after 24 hours you still have not received an answer, you need to register a tor-email on link http://torbox3uiot6wchz.onion.to or http://torbox3uiot6wchz.onion.gq
And write a message to the tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ATTENTION! The message must be sent from the tor-email, otherwise it will not be delivered and will not be read by us.
Also you can register tor-email at the link http://torbox3uiot6wchz.onion (this link can only be opened in the tor browser https://www.torproject.org/)
----PERSONAL KEY----

Перевод записки на русский язык:
Мы обнаружили, что все ваши файлы зашифрованы с алгоритмом AES-256.
К счастью, мы можем помочь вам расшифровать ваши файлы.
Чтобы помочь вам, вы должны написать нам письмо по email: trevinomasonl@mail.com.
В сообщении вы должны написать свой PERSONAL KEY, который написан в конце этого руководства, и вы также должны прикрепить не более трех зашифрованных файлов объемом не более 2 мб каждый.
Если вы не получили ответ в течение 24 часов после вашего письма, дублируйте свое сообщение по email: salvatoreolsond598d@gmail.com
Если после 24 часов вы все равно не получили ответа, вам нужно зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion.to или http://torbox3uiot6wchz.onion.gq
И напишите сообщение на tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ВНИМАНИЕ! Сообщение должно быть отправлено из почты Tor, иначе оно не будет доставлено и не будет прочитано нами.
Также вы можете зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion (эту ссылку можно открыть только в Tor-браузере https://www.torproject.org/)
---- PERSONAL KEY ----


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Написан на Delphi. Использует mORMot framework. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
data.exe
<random>.exe
bat4850245.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
trevinomason1@mail.com
salvatoreolsond598d@gmail.com
xxxx://torbox3uiot6wchz.onion.to
xxxx://torbox3uiot6wchz.onion.gq
xxxx://trevinomason1@torbox3uiot6wchz.onion
xxxx://www.schneier.com/***
xxxx://www.movable-type.co.uk/***
xxxx://tools.ietf.org/html/***
xxxx://www.ietf.org/***
xxxx://csrc.nist.gov/***
xxxx://trevinomason1@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 9 сентября 2017:
Пост в Твиттере >>
Расширение: .trevinomason1@mail.com.vsunit
Email: trevinomason1@torbox3uiot6wchz.onion
trevinomason1@mail.com
Результаты анализов: VT



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockBox)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.


Это 700-й пост блога!!!

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *