пятница, 1 июля 2016 г.

Unlock92

Unlock92 Ransomware (v.1-2)


   Этот крипто-вымогатель шифрует файлы пользователей и требует прислать на почту UNLOCK92@INDIA.COM один из зашифрованных файлов. Ответ вымогатели обещают дать в течении суток. 


Remove Unlock92 Decrypt Unlock92 Decode Restore files Recovery data Удалить Unlock92 Дешифровать Расшифровать Восстановить файлы

  Текстовой записки о выкупе нет, потому инструкция написана на русском языке на скринлоке — изображении, встающем обоями рабочего стола — файле qqq.jpg

К зашифрованным файлам добавляется расширение .CRRRT

Список файловых расширений, подвергающихся шифрованию:
.cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .db, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .ai, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg

Обновление от 7 июля 2016
Новая версия: Unlock92 2.0
Новое расширение: .CCCRRRPPP
Новый скринлок: ORID.jpg
В новой версии Unlock92 2.0 вымогатели перешли на шифрование с помощью RSA-2048, закрытый ключ затем шифруется с помощью статического открытого ключа RSA. 

Обновление от 1 августа 2016 г. 
Новое расширение: .blocked
Новая записка о выкупе, уже текстовая: !!!!!!!!Как восстановить файлы!!!!!!!.txt 
Детект на VirusTotal >>>

Содержание записки претерпело незначительные изменения: 
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт:
fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Заявление об используемом алгоритме верно. Файлы шифруются со случайным  открытым ключом RSA-2048, а закрытый ключ шифруется с помощью статического открытого ключа RSA-2048 и сохраняется как keyvalue.bin. Файлы можно дешифровать только с использованием секретного ключа преступника.


Степень распространённости: средняя. 
Подробные сведения собираются. 


Обновление от 20 октября 2016:
Шифрование: RSA-2048
Оригинальное название: BTTP.exe
Вредоносное вложение: карта партнера.doc.exe
Результаты анализов: HA, VT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion


Обновление от 27 октября 2016:
C# версия
Оригинальное название: BCART.exe
Вредоносное вложение: pdf.exe
Результаты анализов: HA, VT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Извлеченные файлы: !!!!!!!!E !!!!!!!.txt, keyvalue.bin, BBhrpau[1].jpg

Обновление от 20 ноября:
Новый файл: KSATAT.exe
Новое расширение: .kukaracha
Другие файлы: keycode.tta
Результаты анализов: VT  

Обновление от 30 ноября:
Новый файл: LAMAR.exe
Новое расширение: .kukaracha
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT


Обновление от 16 декабря:
Новый файл: MKEMBE.exe
Новое расширение: .kukaracha
Записка: keycode.tta
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion

Результаты анализов: VT

 Внимание!!! 
Для зашифрованных файлов есть декриптер.
Скачать Unlock92 Decrypter для 1-й версии

Если вы пострадали от новой 2-й или новой версии шифровальщика, то обращайтесь на форум BleepingComputer.


Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *