Если вы не видите здесь изображений, то используйте VPN.

четверг, 11 января 2018 г.

EncryptServer2018

EncryptServer2018 Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English


Этот крипто-вымогатель шифрует данные на серверах с помощью AES, а затем требует выкуп в 0.5-1-2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Разработчик: Tornado.
Статус: Файлы можно дешифровать! См. информацию в "Блоке обновлений".

© Генеалогия: LockCrypt > EncryptServer2018

К зашифрованным файлам добавляется расширение .2018

Зашифрованные файлы переименовываются. 
Пример зашифрованного файла: aRx9KCdQaxM7QyxMHlwoEx8hYkNdIlNV***.2018

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!!!.txt 

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail:  tornado_777@aol.com or BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID ***


Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот идентификатор в заголовке вашего сообщения
Чтобы восстановить файлы надо написать нам по email: tornado_777@aol.com или BM-2cXXgKo8HzUmijt8KMywZYHm8xDHhwwgg@bitmessage.ch
Цена восстановления зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который будет дешифровать все ваши файлы.
ГАРАНТИИ!!!
Вы можете отправить нам до 3 файлов для бесплатного дешифрования.
  - файлы не должны содержать важную информацию
  - и их общий размер должен быть меньше 1 МБ
КАК ПОЛУЧИТЬ БИТТОНЫ !!!
Самый простой способ купить биткойны - это сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoyne" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
ВАЖНЫЙ !!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных!
Ваш ID ***



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!!!.txt 
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tornado_777@aol.com
BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы (.2018) можно дешифровать!
Рекомендую обратиться по этой ссылке >>
---
Attention!
Files (.2018) can be decrypted!
I recommend getting help with this link >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockCrypt)
 Write-up, Topic of Support
 * 
Added later:
Decrypting the LockCrypt Ransomware by Palo Alto (July 27, 2018)
***
 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

среда, 10 января 2018 г.

Unrans

Unrans Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RansomText.txt

Запиской с требованием выкупа выступает страница Tor-сайта.

Содержание записки о выкупе:
Ransomware! Your personal files have been encrypted!
Files can be recover for 0.5 Bitcoin to 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Encryption date : 12/01/2018 20:30:29
Check in RansomText.txt your unique ID and submit it to get your encryption key or your time limit before price increase :
Price will be increase in
0days 23hrs 59mins 42secs
To get a proof of recovering, send an encrypted file (lower than 5MB) to krom.mork@openmail.cc with your unique ID (in RansomText.txt), we will return you the orignal file.
Help With Buying Bitcoins
As soon as your payment has been received, we will unblock your unique ID and send you your key encryption. Unrans script already on infected computer or download it here : Unrans.ps1 

Перевод записки на русский язык:
Ransomware! Ваши личные файлы зашифрованы!
Файлы можно вернуть за 0,5 биткоина на 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Дата шифрования: 12/01/2012 20:30:29
Проверьте в RansomText.txt свой уникальный ID и отправьте его, чтобы получить ключ шифрования или ваш лимит времени до повышения цены:
Цена будет расти
0дней 23 часа 59 минут 42 секунды
Чтобы подтвердить восстановление, отправьте зашифрованный файл (менее 5 МБ) на krom.mork@openmail.cc с уникальным ID (в RansomText.txt), мы вернем вам оригинал файла.
Помощь в покупке биткоинов
Как только ваш платеж будет получен, мы разблокируем ваш уникальный ID и отправим вам ваше ключ шифрования. Unrans-скрипт уже на зараженном компьютере или загрузите его здесь: Unrans.ps1



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomText.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: krom.mork@openmail.cc
TOR: xxxx://hxpoklw6l556364m.onion/
BTC: 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro‏
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LazagneCrypt

BRC Ransomware
LazagneCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название и название проекта: brc. На файле написано: brc.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encr

Для справки:
LaZagne - это приложение с открытым исходным кодом, используемое для получения паролей, сохранённых на локальном компьютере. 
SwissDisk - это облачное хранилище в Интернете, опирающееся на криптографию секретного ключа и SSL, позиционируется как безопасное. 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: нет данных.


Содержание записки о выкупе (текст представлен кусками): 
Personal files on your computer have been encryptedwith strong AES encryptionusing a unique key generated for your computer.
Any attempt to decrypt your files or remove this program will render your files unaccessible forever!
-
If you wish to regain access to your files, please transfer as soon as possible
If you fail to comply within 36h, the ransom will be raised. You have been warned.
After we have received your payment, all encrypted files on your computer will be unencrypted automatically.
If you're not familiar with bitcoins, you can buy them via PayPal or bank transfer at: xxxx://anycoindirect.eu/
-
You can also send emails cursing us or wishing us death, so that emails from people who paid and really need help won't be read.
-
We have received your payment and will now proceed to decrypt your files.
Please do not close this window or shut down your computer until the process is finished.
-
I already paid, but my filesare not being decrypted.
We will look into the problem and, if we need your assistance in solving it, send you instructions on how to decrypt your files.

Перевод записки на русский язык:
Персональные файлы на вашем компьютере были зашифрованы с сильным шифрования AES с уникальным ключом, сгенерированным для вашего компьютера.
Любая попытка расшифровать ваши файлы или удалить эту программу сделает ваши файлы недоступными навсегда!
-
Если вы хотите вернуть доступ к своим файлам, пожалуйста, отправьте их как можно скорее
Если вы не выполнили в течение 36 часов, выкуп будет увеличен. Вы были предупреждены.
После того, как мы получим платеж, все зашифрованные файлы на вашем компьютере будут автоматически расшифрованы.
Если вы не знакомы с биткоинами, вы можете купить их через PayPal или банковским переводом по адресу: xxxx://anycoindirect.eu/
-
Вы также можете отправлять email, проклиная нас или желая смерти, чтобы email от людей, которые заплатили и действительно нуждаются в помощи, не были прочитаны.
-
Мы получили ваш платеж и перейдем к расшифровке ваших файлов.
Не закрывайте это окно или не выключайте компьютер до завершения процесса.
-
Я уже заплатил, но мои файлы не дешифруются.
Мы рассмотрим проблему и, если вам нужна наша помощь в ее решении, отправим инструкции о расшифровке файлов.


Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

👉 LazagneCrypt использует инструмент LaZagne для извлечения учетных данных и SwissDisk для загрузки дампов паролей в облачное хранилище. Таким образом, кроме шифровальщика, это еще и похититель паролей. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
brc.exe
Security.lnk

Расположения:
\Windows\Start Menu\Programs\Startup\Security.lnk
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-аккаунта: xxxx://disk.swissdisk.com/tifu17
xxxx://anycoindirect.eu/
Email: wfmmp8@sigaint.org
BTC: 1AGNa15ZQXAZUgFiqJ2i7Z2DPU2J6hW62i
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 9 января 2018 г.

Frog

Frog Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: frog. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Frog

К зашифрованным файлам добавляется расширение .frog

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на вьетнамских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Đọctôi.txt
Запиской с требованием выкупа выступает экран блокировки:
нет данных

Содержание записки о выкупе:
Các tệp của bạn đã được mã hóa.
Để trả lại các tệp của bạn, bạn cần phải trả tiền cho tôi.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Чтобы вернуть свои файлы, вы должны заплатить мне.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Đọctôi.txt
dw20.exe
frog.exe - файл шифрования
frog.txt
defrog.exe - файл дешифрования
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
%TEMP%\Cab6724.tmp
%TEMP%\Cab7B37.tmp
%TEMP%\Cab910D.tmp
%TEMP%\Tar6725.tmp
%TEMP%\Tar7B38.tmp
%TEMP%\Tar910E.tmp

%TEMP%\Tar7B38.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ruamylove.28@gmail.ru
См. ниже результаты анализов.

Результаты анализов:
 VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DeathNote

DeathNote Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES из WinRar, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Death Note (Death-Note). На файле написано: hit.exe или что-то иное. Название проекта: SilentCMD.pdb. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно с текстом (note.vbs).

Содержание текста о выкупе:
Death Note encrypted your files... go to hitler.uphero.com and get unlock password for after attack, and unlock files.. Your files are safe if you pay
Death note have no mercy on YOU

Перевод текста на русский язык:
Death Note зашифровал ваши файлы ... идите на hitler.uphero.com и получите пароль разблокировки после атаки и разблокируйте файлы. Ваши файлы безопасны, если вы платите
Death Note не пощадит ВАС

В другом (WARNING.vbs) запрограммирован следующий текст:
"Death NOte gives you a chance. Death NOte will restart and if you exit again.. you are gone",0=0,"Death note HAD A MERCY ON YOU"
Вероятно, он должен воспроизводиться звуковым файлом с помощью команды:
start cmd /k %appdata%\hitler\mp3play.exe %appdata%\hitler\bg.mp3 

Также запрограммировано окно командной строки, в которое нужно ввести ключ (код) разблокировки. 

Содержание текста о выкупе:
DEATH-NOTE
=== INSTRUCTION TO GET KEY /===
1> Goto heatler.uphero.com and complete the payment or you can get it by contacting cocbkup@gmail.com email option may take long process.. If you want your data back complete payment now or close pc complete payment then only turn it on Else you will need to pay 2x of charge
***

Перевод текста на русский язык:
DEATH-NOTE
=== ИНСТРУКЦИЯ ПОЛУЧИТЬ КЛЮЧ /===
1> Идите на сайт heatler.uphero.com и сделайте оплату или вы можете сделать это контактируя по email cocbkup@gmail.com, процесс может идти дольше. Если хотите вернуть ваши данные, сделайте оплату сейчас или выключите ПК, а затем включите его. Только потом вам нужно будет заплатить в 2 раза больше.
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Управляется файлами с расширениями .vbs и .bat в папке "hitler". Использует AES-шифрование из WinRar. Создаёт много процессов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
\afolder\
\batches\
\hitler\
\hitler\regen\
\ytmp\
windows defender.bat
note.vbs
WARNING.vbs
deathnote.bat
deathnote.exe
timemon.exe
bg.mp3
mp3play.exe
Rar.exe
и другие

Расположения:
\Temp\ ->
\Desktop\ ->
\User_folders\ ->
\Temp\afolder\
\Temp\afolder\windows defender.bat
\Temp\afolder\Rar.exe
\Temp\afolder\death.bat
\Temp\afolder\cmdc.exe
%AppData%\hitler\note.vbs
%AppData%\hitler\deathnote.bat
\hitler\processmon.exe
\hitler\wget.exe
\hitler\Rar.exe
\hitler\regen\DeathNote.exe
\hitler\regen\New Folder.exe
\hitler\WARNING.vbs
\hitler\bg.mp3
\hitler\mp3play.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://hitler.uphero.com
xxxx://files.000webhost.com/public_html/hitler.exe***
xxxxs://www.stephan-brenner.com"

xxxx://upx.tsx.org"
Email: cocbkup@gmail.com
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>

ANY.RUN анализ и обзор >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 ANY.RUN
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LongTermMemoryLoss

LTML Ransomware 

LongTermMemoryLoss Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LongTermMemoryLoss. На файле написано: LongTermMemoryLoss.exe. Разработчик: Asmcx15. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .LTML

Образец этого крипто-вымогателя обнаружен в начале января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком ATTENTION!

Содержание текста о выкупе:
ATTENTION!
***

Перевод текста на русский язык:
ВНИМАНИЕ!
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LongTermMemoryLoss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LongTermMemoryLoss)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 8 января 2018 г.

KoreanLocker

KoreanLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: koreanLocker Ransomware. На файле написано: KoreanLocker.exe. Разработчик: Korean Ransomware Team.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> KoreanLocker 
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다
당신의 개인적 파일, 예를들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고림즘을 이용하여 암호화 되었습니다
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다
 그렇게되면 그 누구도 당신의 파일을 영원히 복호화 할 수 없습니다
그리고 장담하건데 개인키가 없이는 절대 복호화가 이루어지지 않습니다
다시한번 말하지만 비트코인을 지불하는것 외해 복호화 할 수 있는 방법은 존재하지 않습니다
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게됩니다
당신은 '24시간'안에 지불하셔야합니다
당신의 개인ID(personal ID)를 반드시 확인하세요
만약 그 시간안에 지불하지 않으면 당신의 개인키는 자동적으로 우리의 서버에서 지워지게됩니다
명심하세요
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세가지 스텝을 따라 당신의 파일을 복구하세요
시간을 낭비하시지 마세요
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다
우리는 착한사람들은 아닙니다. 하지만 이야기한 부분에 있어서는 반드시 지킵니다
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다
추가정보:
1).지불은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요
2).당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요
3).지불을 완료하시고 메일을 보내시주시면 당일의 메일로 복호화툴과 개인키를 보내드립니다
4) 비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키 입니다
공개키(Public key)는 당신의 파일을 암호화하는데 사용되었습니다
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Officail Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

Перевод записки на русский язык:
------------------ koreanLocker Ransomware ------------------
Ваш компьютер заражен Ransomware
Ваши личные файлы, такие как фотографии, документы, видео и другие важные документы, зашифровываны с использованием сильных алгоритмов шифрования, называемых RSA-2048
Ваш закрытый ключ создается и хранится на нашем сервере
Никто никогда не сможет расшифровать ваши файлы.
И я гарантирую, что вы никогда не сможете расшифровать без закрытого ключа.
Опять же, нет способа заплатить за небольшую монету и декодировать ее
Обязательно проверьте присвоенный вам биткоин-адрес. Если вы ошибетесь, он не будет восстановлен и ваши биткоины пропадут
Вы должны заплатить в течение 24 часов,
Если вы не заплатите за это время, ваш закрытый ключ будет автоматически удален с нашего сервера
Пожалуйста, имейте в виду
Обязательно проверьте свой персональный ID
Биткоин-адрес: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Создайте немного монет на кошельке и отправьте нам немного монет (1BTC) на наш биткоин.
Выполните три шага, чтобы восстановить файлы
Не тратьте свое время.
Пояснительный документ (.txt) в папке, в которой находятся зашифрованные файлы, не является вирусом. Пояснительный документ (.txt) поможет вам расшифровать файлы.
Вы можете увидеть документ (.txt) о восстановлении файлов в папке, где находятся зашифрованные файлы
Мы не хорошие люди. Но лишь отчасти.
Обратите внимание, что худшее уже произошло, и судьба файлов будет зависеть от вашего решения и быстрых действий.
1) Оплата возможна только в биткоинах. Поэтому купите 1 биткоин (1BTC) через BTC. Затем переведите 1 биткоин (1BTC) на биткоин-адрес на экране. 
2). Отправьте ваш персональный ID на официальный email-адрес, указанный ниже.
3). Пожалуйста, сделайте оплату и отправьте нам email, а мы отправим ваш инструмент дешифрования и закрытый ключ по email в течение дня
4) Пожалуйста, отправьте немного монетки и отправьте свой персональный идентификатор на официальный адрес электронной почты в Корее.
Дополнительная информация:
Частный ключ - это ключ к расшифровке и восстановлению файлов
Открытый ключ использовался для шифрования вашего файла
Официальный адрес: www.bithumb.com
Официальный адрес: www.coinone.com
Официальный адрес: www.localbitcoins.com
Официальная почта: powerhacker03@hotmail.com
***
С наилучшими пожеланиями
Команда Korean Ransomware
------------------ koreanLocker Ransomware ------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KoreanLocker.exe (hidden-tear.exe)
<random>.exe
README.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: powerhacker03@hotmail.com
BTC: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
xxxx://10.0.2.15/Ransom.php?info=
xxxxs://namu.wiki/w/RSA%20암호화
См. ниже результаты анализов.

Результаты анализов:
VirusBay анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *