пятница, 29 июля 2016 г.

Turkish Ransomware 


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locked

© Генеалогия:  HiddenTear >> Turkish Ransomware

Основан на крипто-конструкторе HiddenTear. Ориентирован только на турецкоязычных пользователей, т.к. требования о выкупе написаны на турецком языке. 

Remove Turkish Decrypt Delete UYARI Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

Записка с требованием выкупа называется DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html (Узнайте, как вернуть ваши файлы). 

 Содержание записки о выкупе: 
UYARI 
Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir 
Bilgisayarınızda, ağ disklerinde ve USB belleklerde olan önemli dosyalarınız; fotoğraflar,videolar ve kişisel bilgiler Cryptolocker virüsü ile şifrelenmiştir. Bizim şifreleme çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde, tüm dosyalarınızı ve harddiskinizi kaybedersiniz. 
Dikkat:Cryptolocker virüs kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz. 
• İlk olarak '***' bu bitcoin adresine 2 bitcoin yatırınız.
• Buradan bitcoin gönderimi yapabilirsiniz.
• Bitcoini gönderirken açıklama kısmına şirketinizin adını yazınız.
• Buradan bize mail yollayıp mailde de açıklamaya yazdığınız şirket adınızı yazınız. (Gmail üzerinden mail atınız diğer mail istemcileri kabul edilmeyecektir.)
• Yukarıdaki maddeler de özellikle açıklama kısımlarına dikkat ediniz aksi takdirde bitconin veya mailin sizden geldiğine emin olamayız.
• İkisininde açıklamasına yazdığınız değerler eşit olmalıdır. Bunlar bilgisayar tarafından kontrol edildiği için lütfen yazdıklarınızdan emin olunuz. 
Bitcoin açıklamasına yazdığınız değer için örnek; Özsüt Limited 
Mail açıklamanızda Özsüt Limited geçmelidir. Örnek; 
Özsüt Limited adına size ulaşıyorum lütfen CryptoLocker virüsünü kaldırmamız için gerekli programı yollar mısınız. 
İstediğiniz miktar BitCoin adresinize yollanmıştır. 
İyi çalışmalar. 

Bu sayfa en iyi 1920x1080px çözünürlükte ve chrome veya mozilla üzerinde görünür. Lütfen Internet Explorer ile açmayı denemeyiniz. Eğer açtıysanız dosyalarınız bir kez daha şifrelenmiştir. Lütfen bizimle iletişime geçiniz. 

 Перевод записки на русский язык (выполнил Amigo-A): 
ВНИМАНИЕ!
Все ваши файлы зашифрованы вирусом CryptoLocker
Все ваши важные файлы на компьютере, на сетевом диске и USB-памяти, фото, видео и личные данные зашифрованы вирусом CryptoLocker. Единственный способ вернуть файлы покупка нашего дешифровщика. Иначе вы потеряете все файлы безвозвратно.
Внимание: Удаление CryptoLocker не откроет вам доступ к зашифрованным файлам.
• Переведите 2 биткоина на Bitcoin-адрес ***
• Вы можете отправить Bitcoin здесь (ссылка)
• Введите название Вашей компании в описании отправленных Bitcoin.
• Введите в email имя компании, от имени которой отправляете. (Пишите только через почту Gmail, с другой не будет почтовый клиент не примет.) 
• Обратите внимание на пункт выше, иначе мы не будем уверены, что Bitcoin или email-письмо пришли от вас.
• Название, которое вы ввели в описании и письме, должны совпадать, пока они еще на вашем ПК, пожалуйста, убедитесь, что написали.
Например, если вы отправляли Bitcoin от имени Ёзсют Лимитед, то в вашем письме отправитель должен быть Ёзсют Лимитед, а в самом письме должно быть написано: 
"Я обращаюсь к Вам от имени Ёзсют Лимитед. Пожалуйста, пришлите программу для удаления вируса CryptoLocker. Нужная сумма была отправлена на ваш Bitcoin-адрес."
Готово.

Эта страница будет отображаться в разрешении 1920x1080px Chrome или Mozilla. Попробуйте открыть браузер Internet Explorer. Если открытый файл зашифрован файл, то еще раз. Пожалуйста, свяжитесь с нами.

Распространяется с помощью email-спама и вредоносных вложений.

 Список файловых расширений, подвергающихся шифрованию: 
.txt, .rar, .jpeg, .jpg, .pdf, .sql, .png, .accdb, .xls, .xlsx, .doc, .docx, .ppt, .pptx, .zip, .gz, .tar, .tib, .tmp, .frm, .dwg, .pst, .psd, .ai, .svg, .gif, .bak, .db

 Файлы, созданные Turkish Ransomware: 
C:\Users\User_name\Documents\ransom.exe
C:\Users\User_name\.windowsServiceEngine
C:\Users\User_name\Desktop\DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html 

 Раздел реестра, созданный Turkish Ransomware: 
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServiceEngine


 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *