среда, 29 июня 2016 г.

Windows10

Windows10 Ransomware


   Это крипто-вымогатель шифрует файлы, а затем требует выкуп 0,5 биткоинов или больше за дешифровку. К зашифрованным файлам добавляется расширение .windows10

 © Генеалогия: Troldesh (Shade) > Windows10 Ransomware

   Ориентирован, главным образом, на русскоязычных пользователей. Англоязычный текст в первой фразе короче на три слова и добавлен вторым на тот случай, если среди пострадавших будут иноязычные пользователи. 


Remove Windows10 Shade Decrypt Windows 10 Decode Restore files Recovery data Troldesh Удалить Дешифровать Расшифровать Восстановить файлы

Записки о выкупе README.txt создаются в каждой папке, где есть зашифрованные файлы, на Рабочем столе, в корневых директориях всех дисков, в том числе и подключенных к компьютеру внешних дисках. 

Текст на изображении, встающим обоями рабочего стола, аналогичен тому, что был у Troldesh (Shade).

Содержание записки о выкупе на скриншоте написано на двух языках:
ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

ATTENTION!
All the important files on your disks were encrypted.
The details can be found in the README.txt files which you can find on any of your drives.


Содержание тестовых записок с именами README1.txt, README2.txt — README10.txt и пр. 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
095AAECA1E4B0BCD71DE|677|3|2
на электронный адрес Ryabinina.Lina@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь формой обратной связи. Это можно сделать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorz76e7vuik.onion/
и нажмите Enter. Загрузится страница с формой обратной связи.
2) В любом браузере перейдите по одному из адресов:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
095AAECA1E4B0BCD71DE|677|3|2
to e-mail address Ryabinina.Lina@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptorz76e7vuik.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

Судя по зашифрованным файлам, вредонос самым изуверским образом портит имя файла, как это делали раньше предыдущие криптовымогатели, например, Troldesh/Shade. 

Зашифрованные файлы будут выглядеть примерно так: 
w4f-SSkK3HC6ncNeAjfrRalI+OOwFyNPOEUDel1nktH+Ddg4-dZJfEpr8rh+nfXn[.ID_жертвы].windows10 
Перед добавляемым расширением .windows10 легко угадывается ID жертвы. На скриншоте это недорасширение .095AAECA1E4BOBCD71DE

Предположительно этот криптовымогатель является разновидностью или дальнейшим развитием Shade, потому, как и прародитель, может представлять серьёзную опасность для пользователей, если получит широкое распространение. 

Степень распространенности: средняя.
Подробные сведения собираются. 

6 комментариев:

  1. Какова борьба с ним и дешифровка файлов?

    ОтветитьУдалить
    Ответы
    1. Загляните по этому поводу сюда: http://safezone.cc/threads/shade-opisanie-i-variacii.27790/#post-233425

      Удалить
  2. Борьбы на него пока нет, средняя стоимость дешифровки 0,5 биткоина.
    Есть среди моих знакомых кто уж оказался заражен. Ответ с указанного email приходит очень быстро.

    ОтветитьУдалить
    Ответы
    1. http://media.kaspersky.com/utilities/VirusUtilities/RU/shadedecryptor.zip
      Этот декриптор. Пробуйте. Помогает для ранних версий Shade.

      Удалить
  3. Обновят версию - поможет и с расширением .windows10

    ОтветитьУдалить
    Ответы
    1. Касперский ответил уже:
      Здравствуйте!

      Уважаемый пользователь,благодарим Вас за предоставленные данные. Как нам сообщили вирусные аналитики Ваши данные, зашифрованы Trojan-Ransom.Win32.Shade. Вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. Наши вирусные аналитики приложили все возможные усилия для расшифровки Ваших данных, однако на данный момент расшифровка пока невозможна.

      Возможно в будущем наши вирусные аналитики найдут решение по расшифровке. Мы рекомендуем Вам следить за обновлением утилит в разделе "Утилиты для борьбы с вирусами": http://support.kaspersky.ru/viruses/utility
      В случае, если ключ для расшифровки будет нами получен, он будет добавлен в новую версию утилит.

      Обратите Ваше внимание: Важно всегда держать компонент Мониторинг Активности включённым, с ним риск заражения шифровальщиком сводится к нулю. Подробнее о нём можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091

      К сожалению, это все, что мы можем порекомендовать Вам на сегодняшний день. Благодарим Вас за понимание!


      Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.

      С уважением,
      Служба Технической Поддержки
      АО "Лаборатория Касперского"

      Удалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *