Если вы не видите здесь изображений, то используйте VPN.

понедельник, 14 августа 2017 г.

InfiniteTear

 InfiniteTear Ransomware

The_Last Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES/RSA, а затем требует выкуп в 260$ в BTC, чтобы вернуть файлы. Оригинальное название: The_Last. На файле написано: The_Last.exe. Имеется также комментарий: InfiniteTear_Protector.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> InfiniteTear

К зашифрованным файлам добавляется расширение .JezRoz

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Important_Read_Me.txt

Содержание записки о выкупе (Illiteracy of the original):
AAAA323630***
.......................END........................
What happened to my computer?
All of your personal files, such as documents, photos, videos, databases and files that you need, have been removed from your secure cryptography.
You need to pay for your personal files to be decrypted.
Maybe you're looking for a way out of the internet to reopen your files. We will endow you no one but us able to reopen your encrypted files!
So what should I do now?
All you need to do is pay the amount requested to our Bitcoin account and then send the personal identification key to our email address.
Why should I trust you?
We are not dishonest users and guarantee the return of all your missing files. To do this, you can decode 2 of your files by sending us free of charge.
Warning:
After this message, you have only 7 days to pay the requested amount of time. After that time, your key will be deleted from our server and you will not be able to access any of your files even if the requested amount is paid and remember any attempts to manipulate your encrypted files by the program.
Miscellaneous or other people may cause the file to be lost.
Pament : 260$
Email : InfinityShadow@Protonmail.com
BitCoin Address : 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Перевод записки на русский язык ("грамота" оригинала):
Что случилось с моим компьютером?
Все ваши личные файлы, такие как документы, фото, видео, базы данных и файлы, которые вам нужны, были удалены из вашей защищенной криптографии.
Вам нужно заплатить за ваши дешифрованные личные файлы.
Возможно, вы ищете способ в Интернете, как открыть ваши файлы. Мы не позволим никому, кроме нас открыть ваши зашифрованные файлы!
Итак, что мне теперь делать?
Все, что вам нужно сделать, это заплатить требуемую сумму на наш счет Bitcoin, а затем отправить персональный идентификационный ключ на наш email-адрес.
Почему я должен вам доверять?
Мы не являемся нечестными пользователями и гарантируем возврат всех ваших недостающих файлов. Для этого вы можете декодировать 2 ваших файла, отправив нам бесплатно.
Предупреждение:
После этого сообщения у вас есть только 7 дней, чтобы заплатить запрошенное количество времени. После этого ваш ключ будет удален с нашего сервера, и вы не сможете получить доступ к каким-либо вашим файлам, даже если запрашиваемая сумма будет оплачена, и запомните, все попытки манипулировать вашими зашифрованными файлами программой.
Разное или другие люди могут привести к потере файла.
Оплата: 260$
Email: InfinityShadow@Protonmail.com
Bitcoin-адрес: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует Telegram как C&С-сервер для пересылки информации пользователя.

 Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} recoveryenabled no
'<SYSTEM32>\cmd.exe' /C vssadmin.exe delete shadows /all /Quiet
'<SYSTEM32>\cmd.exe' /C WMIC.exe shadowcopy delete

 Очищает журналы Windpws, приложений, событий безопасности, используя команды:
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Application
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Security
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl System

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
Important_Read_Me.txt
The_Last.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
geoip.nekudo.com (95.85.46.50)
api.telegram.org (149.154.167.197)
Email: infinityshadow@protonmail.com
BTC: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 января 2018:

Пост в Твиттере >> 
Мой пост в Твиттере >>
Версия: InfiniteTear v.2
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
BTC: 13CLqsz5FeRtYhFNmMaRgnazs4ekkgxwk5
Сумма выкупа: 120$
Зашифрованные файлы переименовываются: 
S6-iSF0PsPeGWckSR.Infinite, S5-Z7ZUM3fFar93f.Infinite


Обновление от 2 февраля 2018: 
Пост в Твиттере >>
Версия: InfiniteTear v.3
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
Запрос проверки IP: http://icanhazip.com
Файлы: Host32.exe, Host64.exe
Фальш-копирайт: Microsoft
Результаты анализов: VT








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InfiniteTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 Lawrence Abrams‏ 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *