суббота, 17 декабря 2016 г.

Fake Globe

Fake Globe Ransomware

GlobeImposter, GlobeImposter 2.0

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название получил из-за подражания крипто-вымогателю Globe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа позаимствованы вымоагтелями у Globe Ransomware и называются также HOW_OPEN_FILES.hta. Разбрасываются в каждой папке с зашифрованными файлами. 
Fake Globe Ransomware шифровальщик HOW_OPEN_FILES.hta
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
***
All your important data has been encrypted. To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 1 BTC on one of these sites
1. https://localbitcoins.com 
2. https://www.coinbase.com 
3. https://xchange.cc
bitcoin adress for pay:
jlHqcdC83***:
Send 1 BTC for decrypt
After the payment:
Send screenshot of payment to alex_pup@list.ru . In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный ID
***
Все ваши важные данные были зашифрованы. Для восстановления данных вам нужен дешифратор.
Чтобы получить дешифратор вы должны:
заплатить за расшифровку:
сайт для покупки Bitcoin:
Купить 1 BTC на одном из этих сайтов
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://xchange.cc
Bitcoin-адрес для оплаты:
jlHqcdC83***:
Отправить 1 BTC за расшифровку
После оплаты:
Отправить скриншот оплаты на alex_pup@list.ru . В письме указать свой личный ID (смотрите в начале этого документа).
После этого как вы получите дешифратор и инструкции
Внимание!
• Нет оплаты = Нет дешифрования
• Вы реально получаете декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования данных приведут к потере ваших данных
• Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов и вредоносной рекламы, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .chm, .dat, .db, .DeskLink, .dll, .doc, .docx, .dtd, .exe, .h, .ico, .ini, .jpg, .jpeg, .lnk, .log, .MAPIMail, .msi, .ppt, .pptx, .py, .shw, .txt, .url, .wav, .wb2, .wma, .wmdb, .wpl, .xls, .xlsx, .xml (34 расширения).
Это могут быть документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр.

Пропускаются файлы с расширениями: .hta, .wpd, .csv, .bin

Файлы, связанные с этим Ransomware:
<random>.bat
<random>.exe
HOW_OPEN_FILES.hta
подтверждение.exe - вредоносное вложение с названием на русском языке

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
alex_pup@list.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Обновление от 15 февраля 2017:
Файл: 2-0.5.exe
Результаты анализов: VT

Обновление от 13 марта 2017:

Пост в Твиттере >>
Файлы: <random>.exe, %TEMP%\qfjgmfgmkj.tmp
Записка: how_to_recover_files.html
Расширение: .pizdec
Результаты анализов: HA+VT
Проверяет наличие антивирусов: 
COMODO, Kaspersky Lab, McAfee, Avira, Avast, Symantec
<< Скриншот записки

Обновление от 13 апреля 2017:
Записка: how_to_recover_files.htmlэ Расширение: .FIX
Тема поддержки >>
Содержание записки может копироваться из других, чтобы запутать идентификацию. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GlobeImposter, GlobeImposter 2.0)
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams 
 xXToffeeXx
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *