пятница, 11 ноября 2016 г.

PClock3, SuppTeam

PClock3 Ransomware 

PClock SuppTeam Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048, а затем требует выкуп в 0,55 или 0,65 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 5 суток (120 часов) под таймер. Вымогатели называют его CryptoLocker, запугивая пострадавших громким названием, а может быть даже позаимствовали у него часть кода. 

© Генеалогия: WinMav (2015 г.) > PClock, PClock2PClock3 (SuppTeam)

К зашифрованным файлам никакое расширение не добавляется. Имена файлов и их расширения также не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовые записки с требованием выкупа разбрасываются на рабочем столе и называются: 
Your files are locked !.txt
Your files are locked !!.txt
Your files are locked !!!.txt
Your files are locked !!!!.txt
Your files are locked !!!!!.txt

Содержание записки о выкупе:
Support e-mail: suppteam03@india.cov suppteam03@yandex.ru
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after 120 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 0.55 Bitcoin (-393 USD)
---
Your Bitcoin address:
1JXVZ*****
You must send 0.55 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
---
The most convenient tool for buying Bitcoins in our opinion is the site:
xxxxs://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems, credit and debit cards, money orders, and others. Instruction for purchasing Bitcoins on account localbitcoins.com read here:
xxxxs://localbitcoins.com/quides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:
xxxxs://localbitcoins.com/faq#howto_buy
...

Перевод записки на русский язык ("грамота" оригинала сохранена):
Поддержка email: suppteam03@india.cov suppteam03@yandex.ru
Ваши личные файлы, подвергнутые шифрованию на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с уникальным открытым ключом RSA-2048, созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ после 120 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения секретного ключа для этого компьютера, вам нужно заплатить 0,55 Bitcoin (-393 USD)
---
Ваш Bitcoin-адрес:
1JXVZ *****
Вы должны послать 0,55 Bitcoin по указанному адресу и сообщить это на email поддержки клиентов.
В письме нужно указать свой Bitcoin-адрес, с которого был сделан платеж.
...сокращено...

В роли информатора выступают также блокировщик экрана с тремя окнами и скринлок, встающий обоями рабочего стола. Тексты немного отличаются: на экранах больше, чем в текстовой записке, на обоях меньше. 


Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.
Si necesita las imágenes originales, sin marcas de agua en alta resolución, por favor en contacto con el autor del blog. 
                 如果你需要原来的屏幕快照,无需在高分辨率水印,请联系该博客的作者。

Распространяется с помощью email-спама и вредоносных вложений, например, тема письма может называться "PLEASE READ YOUR FAX T6931" (Пожалуйста, прочтите ваш факс...), а во вложении может быть архивированный файл с кричащим названием "Criminal case against you..." (Уголовное дело против вас...), которое буквально вынуждает пользователей немедленно открыть файл. 
В архиве находится WSF-файл. Когда пользователь открывает архив и запускает файл WSF, то JScript-функция начинает серию операций, скачивает и устанавливает троян-загрузчик Crimace, который подключается к интернет-серверу, загружает и запускает другие вредоносные программы, а в данном случае — PClock.

Также PClock может распространяться с помощью эксплойтов, фальшивых обновлений известный легитимных программ, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
2630 типов файлов, это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, образы дисков, файлы бэкапов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
%Desktop%\Your files are locked !.txt
%Desktop%\Your files are locked !!.txt
%Desktop%\Your files are locked !!!.txt
%Desktop%\Your files are locked !!!!.txt
%Desktop%\Your files are locked !!!!.txt
%AppData%\Microsoft\\Crypto\RSA\ - новый файл в папке
%ProgramData%\Microsoft\Crypto\RSA\ - новый файл в папке
%APPDATA%\Microsoft\Crypto\sysras.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nst1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Secretariate.S
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\carpetbag.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp\System.dll
C:\Users\%USERNAME%\AppData\Local\Temp\nsl7902.tmp\System.dll

Названия файлов: 
CRYPLOCKER.exe  - исполняемый файл
sysras.exe  - исполняемый файл
tmpa4f5.exe 
en_files.txt - список зашифрованных файлов
wp.jp - файл обоев

Записи реестра, связанные с этим Ransomware:
См. ниже гибридный анализ

Сетевые подключения и связи:
suppteam03@india.com suppteam03@yandex.ru
xxxx://nsis.sf.net/NSIS_Error
xxxx://blockchain.info/q/getreceivedbyaddress/
xxxxs://blockchain.info/q/24hrprice
northroadchapel.org
www.bitcoincapital.io
www.dunlark.com
www.liesandprivateeyes.com
www.supermercadoramirez.es
xxxxs://localbitcoins.com/guides/how-to-buy-
xxxxs://www.bitstamp.net/
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
и другие

Результаты анализов:
Гибридный анализ на sysras.exe >>
VirusTotal анализ на sysras.exe >>
VirusTotal анализ на carpetbag.dll >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Video review
 ID Ransomware (ID as PClock Updated)
Write-up on BC (add.  November 18, 2016)
Write-up on Technet MS (add.  November 18, 2016)
*
 Thanks: 
 TG Soft (VirITeXplorer)
 CyberSecurity GrujaRS
 Lawrence Abrams
 Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

6 комментариев:

  1. Есть ли способы расшифровки файлов от этого CryptoLocker?

    ОтветитьУдалить
  2. Думаю, что они появятся. Несмотря на подвижки в развитии вредоноса, в данном случае надежда есть.

    ОтветитьУдалить
  3. Ну да и потому что никакой это не криптолокер. Имитация.

    ОтветитьУдалить
  4. Честно говоря очень надеюсь на появление этого способа, ибо утеряно реально много личной информации. Да и сам дурак, что не сделал копию своих важных данных...
    На будущее будет уроком теперь

    ОтветитьУдалить
  5. 1. Сохраните все зашифрованные данные на том же жестком диске, на локальном D или E в папке зашифрованное. Систему можно переустановить, стерев системный раздел.
    2. Я рекомендую обратиться сюда: http://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
    Отправите им образцы файлов и, если найдете, файл вредоноса. Адрес этой статьи тоже скопируете. Они меня знают.

    ОтветитьУдалить
  6. 3. Мало просто копии важных данных сделать. Надо делать по правилу 3-2-1, см. вверху ссылку FAQ.

    ОтветитьУдалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *