воскресенье, 24 июля 2016 г.

Tilde Ransomware

Simple_Encoder Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,8 биткоинов, чтобы вернуть файлы обратно.  К зашифрованным файлам добавляется расширение .~. Название происходит  от английского названия этого знака tilde (тильда). Второе название: Simple_Encoder.

  Записки с требованием выкупа называются:  _RECOVER_INSTRUCTIONS.ini и img.bmp (встающее обоями). Это первый случай, когда используется файл с расширением .ini. 

Местонахождение текстового файла: 
C:\\_RECOVER_INSTRUCTIONS.ini
C:\Documents and Settings\Default User\Desktop\_RECOVER_INSTRUCTIONS.ini 
C:\Documents and Settings\Default User\Templates\_RECOVER_INSTRUCTIONS.ini 

Местонахождение графического файла: 
%TEMP%\Simple_Encoder\img.bmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Simple_Encoder\img.bmp
Графический вариант записки о выкупе

Содержание записки о выкупе _RECOVER_INSTRUCTIONS.ini: 
All your system is encrypted.

All your files (documents, photos, videos) were encrypted.
It's impossible to get access to your files without necessary decrypt key.
All your attempts to solve problem yourself will be unsuccessful!

We suggest you to read some articles about this type of encryption:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Now you have two options to solve the problem:
1. Format your hard disk. This way you'll lose all your files.
2. Pay 0.8 Bitcoin and get key of decryption. At the end of this ad you'll see your personal ID and our contact information.

Now you should send us email with your personal ID. This email 
will be as confirmation you are ready to pay for decryption key.
After payment we'll send you key of decryption with instructions how to decrypt the system.

Please, don't send us emails with threats. We don't read it and don't reply!
We guarantee we'll send you the decryption key after your payment so you'll get access to all your files.

Our e-mail address: one1uno243@yandex.com
YOUR PERSONAL IDENTIFIER: ***

Перевод записки на русский язык: 
Вся система зашифрована.

Все ваши файлы (документы, фото, видео) были зашифрованы.
Невозможно получить доступ к файлам без ключа дешифровки.
Все ваши попытки решить проблему самому будут неудачными!

Мы предлагаем вам прочитать статьи по этому типу шифрования:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Теперь у вас есть 2 варианта решения проблемы:
1. Форматировать жесткий диск. Так вы потеряете все файлы.
2. Заплатить 0,8 BTC и получить ключ дешифрования. В конце этого объявления вы увидите свой ID и контактную информацию.

Теперь вы должны отправить нам письмо с вашим личным кодом. Это письмо будет вашим согласием платить за ключ дешифрования.
После оплаты мы вышлем Вам ключ дешифрования с инструкциями как расшифровать систему.

Пожалуйста, не шлите нам письма с угрозами. Мы их не читаем и не отвечаем!
Мы гарантируем, что отправим вам ключ дешифрования после оплаты и вы получите доступ ко всем своим файлам.

Наш email-адрес: one1uno243@yandex.com
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР: ***


Распространяется с помощью email-спама и вредоносных вложений, в том числе с документами MS Office типа bank_20160724_164650.doc и пр.

Список файловых расширений, подвергающихся шифрованию: 
.arc, .aes, .asc, .asf, .avi, .asm, .asp, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djvu, .djv, .doc, .docb, .docx, .docm, .dot, .dotx, .dotm, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .java, .jar, .jpg, .jpeg, .key, .lay, .lay6, .ldf, .max, .mdb, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11 (security copy), .myd, .myi, .mdf, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .pps, .ppam, .ppsm, .ppt, .pptm, .pptx, .ppsx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .svg, .swf, .sxc, .sxd, .sxi, .sxm,  .sldx, .sldm, .stw, .sxw, .tar, .tbk, .tgz, .tiff, .tif, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma,  .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений)

Файлы, связанные с Tilde Ransomware: 
crypt.exe
_RECOVER_INSTRUCTIONS.ini

Записи реестра, связанные с Tilde Ransomware: 
См. гибридный анализ ниже (Reverse)

Результаты анализов:
Анализ на VirusTotal >>
Анализ на Reverse >>


Обновление от 25 октября:
Новый email: ki08ng7772@yandex.com
Результаты анализов: VT


Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *