Lalabitch Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .lalabitch
Зашифрованные файлы переименовываются с помощью base64.
Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: lalabitch.php
Содержание записки о выкупе:
Your site is locked with Lalabitch Custom encryption method.
Please pay 0.5 btc to 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 for the Decryption key. Or else,
in 12 hours all of your files in this website will be deleted
- [lalabitch2017[at]yandex.com] -
----------------------------------------------
This is a notice of ransomware.
How to restore the beginning?
Please contact us via email listed
Перевод записки на русский язык:
Ваш сайт заблокирован с Lalabitch обычным способом шифрования.
Оплатите 0.5 btc на 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 за ключ дешифрования. Или, через 12 часов все ваши файлы на этом веб-сайте будут удалены.
- [lalabitch2017 [at] yandex.com] -
----------------------------------------------
Это уведомление о выкупе.
Как начать восстановление?
Свяжитесь с нами по email.
Технические детали
Может распространяться путём взлома сервера через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Скриншот интерфейса
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Из шифрования исключаются файлы, содержащие в имени:
.php
.png
404.php
.htaccess
.lndex.php
DyzW4re.php
index.php
.htaDyzW4re
.lol.php
Файлы, связанные с этим Ransomware:
lalabitch.php
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9
Email: lalabitch2017@yandex.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Lalabitch) Write-up, Topic of Support *
Added later: Write up on BC * *
Thanks: Michael Gillespie Catalin Cimpanu * *
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.
