понедельник, 14 августа 2017 г.

The_Last

The_Last Ransomware

InfiniteTear Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 260$ в BTC, чтобы вернуть файлы. Оригинальное название: The_Last. На файле написано: The_Last.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .JezRoz

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Important_Read_Me.txt

Содержание записки о выкупе (Illiteracy of the original):
AAAA323630***
.......................END........................
What happened to my computer?
All of your personal files, such as documents, photos, videos, databases and files that you need, have been removed from your secure cryptography.
You need to pay for your personal files to be decrypted.
Maybe you're looking for a way out of the internet to reopen your files. We will endow you no one but us able to reopen your encrypted files!
So what should I do now?
All you need to do is pay the amount requested to our Bitcoin account and then send the personal identification key to our email address.
Why should I trust you?
We are not dishonest users and guarantee the return of all your missing files. To do this, you can decode 2 of your files by sending us free of charge.
Warning:
After this message, you have only 7 days to pay the requested amount of time. After that time, your key will be deleted from our server and you will not be able to access any of your files even if the requested amount is paid and remember any attempts to manipulate your encrypted files by the program.
Miscellaneous or other people may cause the file to be lost.
Pament : 260$
Email : InfinityShadow@Protonmail.com
BitCoin Address : 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Перевод записки на русский язык ("грамота" оригинала):
Что случилось с моим компьютером?
Все ваши личные файлы, такие как документы, фото, видео, базы данных и файлы, которые вам нужны, были удалены из вашей защищенной криптографии.
Вам нужно заплатить за ваши дешифрованные личные файлы.
Возможно, вы ищете способ в Интернете, как открыть ваши файлы. Мы не позволим никому, кроме нас открыть ваши зашифрованные файлы!
Итак, что мне теперь делать?
Все, что вам нужно сделать, это заплатить требуемую сумму на наш счет Bitcoin, а затем отправить персональный идентификационный ключ на наш email-адрес.
Почему я должен вам доверять?
Мы не являемся нечестными пользователями и гарантируем возврат всех ваших недостающих файлов. Для этого вы можете декодировать 2 ваших файла, отправив нам бесплатно.
Предупреждение:
После этого сообщения у вас есть только 7 дней, чтобы заплатить запрошенное количество времени. После этого ваш ключ будет удален с нашего сервера, и вы не сможете получить доступ к каким-либо вашим файлам, даже если запрашиваемая сумма будет оплачена, и запомните, все попытки манипулировать вашими зашифрованными файлами программой.
Разное или другие люди могут привести к потере файла.
Оплата: 260 $
Email: InfinityShadow@Protonmail.com
Bitcoin-адрес: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Telegram как C2-сервер. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Important_Read_Me.txt
The_Last.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
geoip.nekudo.com (95.85.46.50)
api.telegram.org (149.154.167.197)
Email: infinityshadow@protonmail.com
BTC: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InfiniteTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *