понедельник, 8 января 2018 г.

KoreanLocker

KoreanLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: koreanLocker Ransomware. На файле написано: KoreanLocker.exe. Разработчик: Korean Ransomware Team.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> KoreanLocker 
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다
당신의 개인적 파일, 예를들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고림즘을 이용하여 암호화 되었습니다
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다
 그렇게되면 그 누구도 당신의 파일을 영원히 복호화 할 수 없습니다
그리고 장담하건데 개인키가 없이는 절대 복호화가 이루어지지 않습니다
다시한번 말하지만 비트코인을 지불하는것 외해 복호화 할 수 있는 방법은 존재하지 않습니다
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게됩니다
당신은 '24시간'안에 지불하셔야합니다
당신의 개인ID(personal ID)를 반드시 확인하세요
만약 그 시간안에 지불하지 않으면 당신의 개인키는 자동적으로 우리의 서버에서 지워지게됩니다
명심하세요
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세가지 스텝을 따라 당신의 파일을 복구하세요
시간을 낭비하시지 마세요
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다
우리는 착한사람들은 아닙니다. 하지만 이야기한 부분에 있어서는 반드시 지킵니다
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다
추가정보:
1).지불은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요
2).당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요
3).지불을 완료하시고 메일을 보내시주시면 당일의 메일로 복호화툴과 개인키를 보내드립니다
4) 비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키 입니다
공개키(Public key)는 당신의 파일을 암호화하는데 사용되었습니다
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Officail Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

Перевод записки на русский язык:
------------------ koreanLocker Ransomware ------------------
Ваш компьютер заражен Ransomware
Ваши личные файлы, такие как фотографии, документы, видео и другие важные документы, зашифровываны с использованием сильных алгоритмов шифрования, называемых RSA-2048
Ваш закрытый ключ создается и хранится на нашем сервере
Никто никогда не сможет расшифровать ваши файлы.
И я гарантирую, что вы никогда не сможете расшифровать без закрытого ключа.
Опять же, нет способа заплатить за небольшую монету и декодировать ее
Обязательно проверьте присвоенный вам биткоин-адрес. Если вы ошибетесь, он не будет восстановлен и ваши биткоины пропадут
Вы должны заплатить в течение 24 часов,
Если вы не заплатите за это время, ваш закрытый ключ будет автоматически удален с нашего сервера
Пожалуйста, имейте в виду
Обязательно проверьте свой персональный ID
Биткоин-адрес: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Создайте немного монет на кошельке и отправьте нам немного монет (1BTC) на наш биткоин.
Выполните три шага, чтобы восстановить файлы
Не тратьте свое время.
Пояснительный документ (.txt) в папке, в которой находятся зашифрованные файлы, не является вирусом. Пояснительный документ (.txt) поможет вам расшифровать файлы.
Вы можете увидеть документ (.txt) о восстановлении файлов в папке, где находятся зашифрованные файлы
Мы не хорошие люди. Но лишь отчасти.
Обратите внимание, что худшее уже произошло, и судьба файлов будет зависеть от вашего решения и быстрых действий.
1) Оплата возможна только в биткоинах. Поэтому купите 1 биткоин (1BTC) через BTC. Затем переведите 1 биткоин (1BTC) на биткоин-адрес на экране. 
2). Отправьте ваш персональный ID на официальный email-адрес, указанный ниже.
3). Пожалуйста, сделайте оплату и отправьте нам email, а мы отправим ваш инструмент дешифрования и закрытый ключ по email в течение дня
4) Пожалуйста, отправьте немного монетки и отправьте свой персональный идентификатор на официальный адрес электронной почты в Корее.
Дополнительная информация:
Частный ключ - это ключ к расшифровке и восстановлению файлов
Открытый ключ использовался для шифрования вашего файла
Официальный адрес: www.bithumb.com
Официальный адрес: www.coinone.com
Официальный адрес: www.localbitcoins.com
Официальная почта: powerhacker03@hotmail.com
***
С наилучшими пожеланиями
Команда Korean Ransomware
------------------ koreanLocker Ransomware ------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KoreanLocker.exe (hidden-tear.exe)
<random>.exe
README.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: powerhacker03@hotmail.com
BTC: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
xxxx://10.0.2.15/Ransom.php?info=
xxxxs://namu.wiki/w/RSA%20암호화
См. ниже результаты анализов.

Результаты анализов:
VirusBay анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton