понедельник, 13 июня 2016 г.

7h9r

7h9r Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью XOR с ключом 7h9r, а затем предлагает связаться по email с вымогателями, чтобы узнать, как вернуть файлы обратно. Сумма выкупа, названная в ответном письме, $100 за дешифровщик. Цели шифрования: документы, аудио, видео. Оригинальное название: 7h9r. 

Зашифрованные файлы получают расширение .7h9r

Записка с требованием выкупа называется README_.txt
Записки могут быть только на английском языке, но есть и двуязычные (на русском и английском). Выше представлены оба варианта. 

Содержание записки о выкупе:
Your files were encrypted. If you want to decrypt them you must send code WE8765twx1009jdR|742|0|2 to email 7h9r341@gmail.com.
Then you will receive all necessary instructions. Attempts to decipher on their own will not lead to anything good, except irretrievable loss of information.
If you still want try to decipher them, please make a copy of files, this is our life hacking for you. (If you change the file we can't decrypt them in future)

Перевод записки на русский язык:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|2 на email-адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации.
Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак. (Если повредишь файлы, то и мы не сможем их потом дешифровать)

Русский текст в двуязычном варианте записки:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|1 на електронный адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации. Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.

Примечательно, что слово "электронный" написано, как "електронный", т.е. с буквой "е" вначале, как в украинском языке, только с буквой "ы", как в русском языке. 

Ответное письмо вымогателей:
The cost of decryption - S 100
Within 5 minutes to an hour from the time of payment you will get a program which returns all exactly as it was.
Do not try to recover the data with the help of anti-virus tools, it will hurt all the files If you want to try. try on another PC and a minimum of files, or even then we can not help you.
Firstly you must to send me 1 file (we will decrypt one file up to 10 MB for free as a confirmation in order that the files can be recovered. Any earnings reports, diplomas, coursework. presentations will not be decrypted for free)

Перевод ответного письма:
Стоимость дешифровки - S 100
От 5 минут до часа с момента оплаты вы получите программу, которая возвращает всё, как было.
Не пытайтесь вернуть данные с помощью антивируса, это повредит все файлы. Хотите пробовать, пробуйте на другом ПК и с минимумом файлов, или даже мы уже не поможем.
Сначала нужно прислать 1 файл (мы дешифруем файл до 10 МБ бесплатно, как подтверждение того, что файлы можно вернуть. Все отчеты о доходах, дипломы, курсовые, презентации не будем бесплатно дешифровывать)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3gp .apk .asm .avi .bmp .cdr .cer .chm .ckp .conf .cpp .css .csv .dacpac .dat .db3 .dbf .dbx .dcx .djvu .doc .docm .docx .epub .fb2 .flv .gif .ibooks .iso .java .jpeg .jpg .key .md2 .mdb .mdf .mht .mhtm .mkv .mobi .mov .mp3 .mp4 .mpeg .mpg .mrg .pdf .php .pict .pkg .png .pps .ppsx .ppt .pptx .psd  .rar .rbw .rtf .sav .scr .sql .sqlite .sqlite3 .sqlitedb .swf .tbl .tif .tiff .torrent .txt .vsd .wmv .xls .xlsx .xml .xps .zip
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_.txt - запсика о выкупе;
README_.TXT.7h9r - зашифрованная версия записки;
7h9r.exe - исполняемый файл вымогателя. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространенности: средняя.
Подробные сведения собираются. 

 Read to links: 
 Tweet on Twitter (add. June 13, 2016)
 ID Ransomware (ID as 7h9r)
 Write-up (add. June 13, 2016)
 Tweet on Twitter (add. August 2, 2016)
 Thanks: 
 Mosh, MalwareHunterTeam
 Michael Gillespie
 Marcelo Rivero
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

  1. Помогите восстановить файлы после этой гадости.

    ОтветитьУдалить
    Ответы
    1. Где же вы подцепили такой старый (прошлогодний) и редкий шифровальщик?

      Удалить
    2. Изучите "Первые шаги после атаки шифровальщика"
      http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
      и обратитесь на один из форумов, что там указаны в конце статьи.
      Если есть возможность изучить образцы и создать дешифровщик, то могут помочь. Если образцов нет, то вряд ли что-то поможет.

      Удалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *