Если вы не видите здесь изображений, то используйте VPN.

пятница, 12 февраля 2016 г.

TeslaCrypt 3.0

TeslaCrypt 3.0 (MP3) Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + ECHD + SHA1, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название скрыто. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: TeslaCrypt 0.x > TeslaCrypt 2.x > TeslaCrypt 3.0

Список используемых крипто-вымогателем расширений версией TeslaCrypt 3.0:
.micro 
.xxx 
.ttt 
.mp3 - расширение для этой версии TeslaCrypt 3.0 (MP3)
Зашифрованные файлы с расширением .MP3

Активность этого крипто-вымогателя пришлась на первую половину февраля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

В рамках 3-й версии записки о выкупе были изменены создателями шифровальщика.

Новые файлы с требованием выкупа теперь называются:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Позже записки получили 5 знаков и приняли вид:
Recovery+[5_characters].txt, например,  Recovery+eubpm.txt
Recovery+[5_characters].png, например,  Recovery+eubpm.png
Recovery+[5_characters].html, например, Recovery+eubpm.html



Примечательно, то из TeslaCrypt этой версии исчез код, отвечающий за отображение окон приложения (GUI). Вместо этого после шифрования TeslaCrypt теперь показывает HTML-записку, заимствованную у ранее известного крипто-вымогателя – CryptoWall 3.0. Похоже, что воровство записок о выкупе входит в моду. 

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE Google Translate
What happened to your files?
All of your files were protected by a strong encryption with RSA
More information about the encryption RSA can be found here: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able work with them, read them o
see them, it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen?
Especially for you, on our SERVER was generated the secret key pair RSA - public and private.
All your files were encrypted with the public key. which has been transferred to your computer via the Internet.
Decrypting of YOUR FILES is only possible with the help of the private key and decrypt program which is on our Secret Server!!!

What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed
If you really need your data, then we suggest you do not waste valuable time searching for other solutions becausen they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxx://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the tor-browser address bar: fwgrhsao3aoml7ej.onion***
4. Follow the instructions on the site.
...

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? Используйте Google-переводчик
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием с RSA
Подробную информацию о RSA-шифровании можно найти здесь: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

Что это значит?
Это значит, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их, видеть их, это то же самое, что потерять их навсегда, но с нашей помощью вы можете их восстановить.

Как это произошло?
Специально для вас на нашем сервере была создана секретная ключ-пара RSA - отрытый и закрытый.
Все ваши файлы были зашифрованы открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере!!!

Что мне делать?
Увы, если вы не предпримете необходимые меры в течение указанного времени, тогда условия для получения закрытого ключа будут изменены
Если вам действительно нужны ваши данные, мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что их не существует.

Для получения более конкретных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

Если по некоторым причинам адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку Tor-браузера: fwgrhsao3aoml7ej.onion***
4. Следуйте инструкциям на сайте.
...


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов (Nuclear, Angler), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также для заражения ПК пользователей этим вымогательским ПО используется компрометация сайтов на базе CMS WordPress и Joomla.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***
fwgrhsao3aoml7ej.onion***
См. ниже обновления.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 18 февраля 2016:
Расширение: .mp3
TOR: fwgrhsao3aoml7ej.onionЗаписки: Recovery+eubpm.txt
Recovery+eubpm.png
Recovery+eubpm.html
Тема на форуме >>
<< Скриншот записки





 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TeslaCrypt 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *