пятница, 13 января 2017 г.

LambdaLocker

LambdaLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA и SHA-256, а затем требует выкуп в 0,5-1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: LambdaLocker. Начало

К зашифрованным файлам добавляется расширение .lambda_l0cked


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.hTmL
Написаны на английском и китайском языках. 

Содержание записки о выкупе:
!!!WARNING!!!
Your files are encrypted by the LambdaLocker.
Your ID: 4530-1xxx-2xxx-5xxx
We used AES-256 and SHA-256 cipher to encrypt. So DO NOT try to crack your files.
The way to DECRYPT:
Step1: pay 0.5 Bitcoin to 1MJod*** (Case Sensitive, Please copy this address) in 1 month.
Step2: send an E-MAIL to lambdasquad.hl@yandex.com after you finish step 1
Format:
Subject: decryptLL
Body: [Your ID]P05 (Example:[1234-1234-1234]P05)
Step3: Please wait. We will send the decrypter and the key to you in 3 hours.
How to get Bitcoins and pay?
  1. Register a Bitcoin Trade Platform.
  2. Buy Bitcoins through the platform.
  3. Pay 0.5 Bitcoins to 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 and follow the decrypt step.
  If you can't understand, please Google: How can I buy and pay bitcoin?
Bitcoin Trade Platform recommend:
 1. HuoBi (火币,China): https://www.huobi.com/
 2. BtcTrade (China): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JuBi (聚币,China): http://www.jubi.com/
 6. Btc100 (China): https://www.btc100.cn/
 7. BTC-e: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Or you can use others.
If you have any questions, please e-mail lambdasquad.hl@yandex.com.


!!!警告!!!
您的所有文件已经被LambdaLocker加密.
您的ID : 4530-1099-2139-5329
我们使用了AES-256和SHA-256加密,请不要试图破解.
解锁方式:
第一步:在一个月内支付0.5比特币到地址 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 (区分大小写,请完整地复制)
第二步:完成第一步之后,发送邮件到 lambdasquad.hl@yandex.com
格式:
邮件标题:decryptLL
邮件内容:[您的ID]P05 (举例:[1234-1234-1234]P05)
第三步:请等待.我们会把秘钥和解锁程序在3小时内发送给您.
如何得到比特币并支付?
  1.注册一个比特币交易平台.
  2.通过平台购买比特币.
  3.通过平台支付0.5比特币到1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2并继续解锁步骤.
  如果还有疑问请上网搜索:如何购买并支付比特币
比特币交易平台推荐:
1.YunBi(云币,China):https://yunbi.com/
 2.BtcTrade(China):http://www.btctrade.com
 3.OKCoin:https://www.okcoin.cn/
 4.Bter:https://bter.com/
 5.JuBi(聚币,China):http://www.jubi.com/
 6.Btc100(China):https://www.btc100.cn/
 7.BTC-e:https://btc-e.com/
 8.Bitstamp:https://www.bitstamp.net/
 9.GDAX:https://www.gdax.com/
 10.CEX:https://cex.io/
或者您也可以使用其他的.
如果您有任何疑问,请发送邮件至lambdasquad.hl@yandex.com

Перевод записки на русский язык:
!!!ПРЕДУПРЕЖДЕНИЕ!!!
Ваши файлы зашифрованы с помощью LambdaLocker.
Ваш ID: 4530-1xxx-2xxx-5xxx
Мы использовали AES-256 и SHA-256 шифры для шифрования. Потому не пытайтесь взломать ваши файлы.
Путь к дешифровке:
Шаг 1: платить 0,5 Bitcoin на 1MJod *** (чувствительно к регистру, скопируйте этот адрес) в течение 1 месяца.
Шаг2: отправить email на lambdasquad.hl@yandex.com после 1-го шага
Формат:
Тема: decryptLL
Тело: [Ваш ID]P05 (Пример: [1234-1234-1234]P05)
Шаг 3: Подождите. Мы пришлем декриптер и ключ вам за 3 часа.
Как получить биткоины и заплатить?
  1. Зарегистрироваться в Bitcoin Trade Platform.
  2. Купить биткоины через платформу.
  3. Оплатить 0,5 биткоина на 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 и далее шаг дешифрования.
  Если вы не можете понять, пожалуйста гуглите: How can I buy and pay bitcoin?
Bitcoin Trade Platform рекомендует:
 1. HuoBi (火 币, Китай): https://www.huobi.com/
 2. BtcTrade (Китай): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JUBI (聚 币, Китай): http://www.jubi.com/
 6. Btc100 (Китай): https://www.btc100.cn/
 7. BTC-е: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Или вы можете использовать другие.
Если у вас есть любые вопросы, пожалуйста, пишите на email lambdasquad.hl@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Запустившись вредонос завершают работу следующих служб:
MariaDB
MSSQL
MSSQL56
MSSQLServer
OracleServiceORCL

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .backup, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpeg, .jpg, .mdb, .odt, .pdf, .psd, .rar, .rtf, .sqlite, .tiff, .xls, .xlsx, .zip (23 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

При шифровании пропускаются файлы, находящиеся в директориях: 
ProgramFiles
Windows

Файлы, связанные с этим Ransomware:
READ_IT.hTmL
LambdaLocker.exe
baiduyunSimple.exe

Расположения: 
%SystemDrive%\READ_IT.hTmL
%SystemDrive%\lf.lst
%SystemDrive%\!A_NOTICE_FROM_LAST
%SystemDrive%\lalove.inf0
[PATH TO MALWARE]\#Cyb3rGh0st_S0c13tyF@ck3r

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lambdasquad.hl@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Symantec: Ransom.LambdaLocker >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 5 апреля 2017:
Версия: LambdaLocker Python
Сумма выкупа: 1 BTC
Файлы: kukuvruku.exe, reloader.exe
Расширение: .lambda_l0cked
Целевые файлы: .gif, .htm, .html, .pdf, .txt и другие.  
Останавливает процессы: mysql, MySQL56, mssqlserver, OracleServiceORCL, MongoDB, MariaDB, postgresql
Завершает задачи процессов: mysql.exe, IM oracle.exe, sqlserver.exe, IM Apache.exe
Результаты анализов: HA+VT
Новый видеоролик >>

Обновление от 7 апреля 2017:
Результаты анализов: HA+VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LambdaLocker)
 Tweet on Twitter + Write-up + Video review
 Thanks: 
 Michael Gillespie
 Symantec
 Chris Doman
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *