Если вы не видите здесь изображений, то используйте VPN.

четверг, 7 января 2016 г.

LowLevel04

LowLevel04 Ransomware

OOR Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. 

  К зашифрованным файлам добавляется не расширение, а приставка oor., которая присоединяется к началу файла. Ранняя активность этого крипто-вымогателя пришлась на октябрь 2015 г. Тогда LowLevel04 был замечен в атаках только на греческих и болгарских пользователей. Позже атаки повторились. 

Записка с требованием выкупа называется: help recover files.txt

Содержание записки о выкупе:
Good day, isn’t it?
What happened to your files?
All your files were protected by a strong encryption with RSA-2048
More information about the encryption keys using rsa-2048 can be found heres
https://en.wikipedia.org/RSA
What does this mean?
This mean that the structure and data within your files have been irrevocably change and only we can help you to restore it.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private
All your files were encrypted with the public key, which has been transferred to your computer via internet.
Decrypting of your files is only possible with the help of the private key and decrypt program which is on our server
You can buy our tool with private key that will recover all your files, it cost's 4 bitcoins and you need send it to bitcoin address 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf . 1 bitcoin ~= 240 US $.
You can make bitcoin payment without any bitcoin software. For this you can use one of this bitcoin exchanger from this exchange list to send us bitcoins
https://crypto.bg
bitcoini.com
https://bitpay. com
www.plus500.bg/Trade-Bitcoins
bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Our contact mail entry122717@gmail.com . Additional contact mail entry123488@india.com (email us here if we don’t answer from gmail.com).
Your own personal key: *****. Send us your own personal key after payment and we will send you decryption tool.
You can send one small file (not bigger than 1 megobyte) before payment and we will recover it. It will be proof that we have decryption tool.

Перевод записки на русский язык:
Хороший день, не так ли?
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048
Более подробную информацию о ключах шифрования RSA-2048 можно найти здесь:
https://ru.wikipedia.org/RSA
Что это значит?
Это значит, что структура и данные в ваших файлах были безвозвратно изменены, и только мы можем помочь вам восстановить их.
Как это произошло?
Специально для вас на нашем сервере была сгенерирована секретная пара ключей RSA-2048 - открытый и закрытый
Все ваши файлы были зашифрованы открытым ключом, который был передан на ваш компьютер через Интернет.
Расшифровать ваши файлы можно только с помощью закрытого ключа и программы дешифрования, которые есть на нашем сервере.
Вы можете купить наш инструмент с закрытым ключом, который восстановит все ваши файлы, он стоит 4 биткойнов, и вам нужно отправить его на биткойн-адрес 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf. 1 биткойн ~= 240 долларов США.
Вы можете сделать биткойн-платеж без софта биткойнов. Для этого вы можете использовать один из этих биткойнов-обменников из этого списка, чтобы отправить нам биткойны:
https://crypto.bg
Bitcoini.com
https://bitpay. Ком
Www.plus500.bg/Trade-Bitcoins
Bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Наш контактный email entry122717@gmail.com. Дополнительный entry123488@india.com (напишите на него, если мы не ответим на gmail.com).
Ваш личный ключ: *****. Отправьте нам свой личный ключ после оплаты, и мы вышлем вам инструмент для расшифровки.
Перед отправкой вы можете отправить один небольшой файл (не более 1 Мб), и мы его восстановим. Это будет доказательством того, что у нас есть инструмент дешифрования.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, а также проводит брутфорс-атаку по Remote Desktop. 

Когда файл уже зашифрован, то он содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот они: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции. Эти слои данных в зашифрованном файле представлены также в таблице ниже.

В каждой папке с зашифрованными файлами, LowLevel04 оставляет записку о выкупе с инструкцией об уплате выкупа и получения программы для дешифровки (декриптера). 

После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований.

Как оказалось, LowLevel04 не удаляет теневые копии файлов. Поэтому пострадавшим можно использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить файлы из теневых копий файлов. Информацию о том, как восстановить файлы из теневых копий можно найти в руководстве по CryptoLocker.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .arw, .automaticDestinations-ms, .backup, .bad, .bay, .bck, .bcp, .bkp, .bkup, .bmp, .cdr, .cer, .com, .cr2, .crt, .crw, .dat, .database, .dbf, .dcr, .der, .desklink, .dll, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .ico, .ie5, .ie6, .ie7, .ie8, .ie9, .indd, .inf, .ini, .jpe, .jpeg, .jpg, .kdc, .lnk, .lpa, .mapimail, .mdb, .mdf, .mef, .mid, .mp3, .mp4, .mrw, .msi, .nef, .nrw, .odb, .odc, .odm, .ods, .odt, .opd, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .scr, .search-ms, .sql, .sr2, .srf, .srw, .sys, .wav, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (109 расширений). 

Сетевые подключения и связи: 
E-mail вымогателей: 
entry122717@gmail.com
entry123488@india.com
BTC: 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf

Файлы, связанные с этим Ransomware:
help recover files.txt
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *