суббота, 2 апреля 2016 г.

7ev3n-HONE$T

7ev3n-HONE$T Ransomware


(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1 Bitcoin (400 USD), чтобы вернуть файлы обратно. Название происходит от видоизмененного слова HONE$T (англ. Honest - "честный") - ЧЕ$ТНЫЙ. 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A

  7ev3n-HONE$T является обновленной версией 7ev3n Ransomware. Пострадавшие от этой версии могут заплатить половину выкупа, чтобы вернуть себе контроль над половиной своих зашифрованных файлов. Активность этого крипто-вымогателя пришлась на апрель 2016 г. Распространяется с помощью email-спама и вредоносных вложений. 

  Записка с требованием выкупа называется: FILES_BACK.txtК ней добавляется экран блокировки. 

Содержание записки о выкупе: 
HI, YOUR PERSONAL FILES WERE ENCRYPTED BY 7ev3n-HONE$T
All your photos, media, documents, databases, MS Office and other important files were encrypted with strong algorithm.
Decryption price 1.0 bitcoin (400 USD)
Unique bitcoin address for payment was generated only for you: -
File decryption process is completely automated! The process is “PAY-DECRYPT”.
1. The list of encrypted files are available by click on “VIEW”.
2. You are able to decrypt 3-5 files free of charge. The choice is random. Therefor click on “TEST DECRYPT”.
3. You are able to decrypt the half (50%) of the files, therefor pay 0.6 BTC (240 USD) to unique address specified above the program will randomly choose the half of the files and decrypt them. Sine then you can pay additional 0.6 BTC (240 USD) and the program will decrypt the rest of the files. If you pay the total amount (1.0) at one you get 20% discount.
4. Confirmation of one transaction takes 30 minutes or less. The process of files decryption and self-deleting is automated. Decryption process takes 1-3 hours based on the amount of encrypted files, decryption speed is 7 Gb/hr.
5. To get keys and start decrypting process after payment, please ensure that your internet-connection is active!
6. If you don’t know that are bitcoins, how to purchase and use them click on “How to Pay”.
Don’t try to delete the program, any delete actions will be resulted in irrecoverable loss of your files. Don’t try to change file names and their extensions. Don’t enable Antivirus of Firewall software. The only way to recover access to your files is to pay for decryption process. Encryption algorithm is invincible. There are no third programs for this algorithm decryption and there would not be any.
Attention! you have to pay within 72 hours. If the payment is not performed, private key will be destroyed and files will be lost.

Перевод записки на русский язык: 
Привет, ваши личные файлы были зашифрованы 7ev3n-HONE$T
Все ваши фото, медиа, документы, базы данных, MS Office и другие важные файлы зашифрованы с сильным алгоритмом.
Дешифровка стоит 1,0 Bitcoin (400 USD)
Уникальный Bitcoin-адрес для оплаты был создан для вас: ***
Процесс дешифровки полностью автоматизирован! Называется "PAY-DECRYPT".
1. Перечень зашифрованных файлов откроется, при нажатии на "VIEW".
2. Можно дешифровать 3-5 файлов бесплатно. Выбор случайный. Для этого нажмите на "TEST DECRYPT".
3. Можно дешифровать половину (50%) файлов, и платить 0,6 BTC ($240 США) на уни-адрес выше. Программа случайным образом выберет половину файлов и дешифрует их. Позже можете доплатить еще 0,6 BTC ($240 США), и программа дешифрует остальные файлы. Если вы платите полную сумму (1.0 BTC) сразу, то получаете 20% скидку.
4. Подтверждение одной сделки занимает 30 минут или меньше. Процесс дешифровки файлов и самостирания автоматизирован. Процесс дешифровки занимает 1-3 часа, в зависимости от количества зашифрованных файлов, скорость дешифровки 7 Гб / час.
5. Для того, чтобы получить ключи и начать процесс дешифровки после оплаты, пожалуйста, убедитесь, что интернет подключен!
6. Если вы не знаете, что такое Bitcoin, как приобрести и использовать их, нажмите на "How to Pay".
Не пытайтесь удалить программу, любые действия по удалению приведут в безвозвратной потере ваших файлов. Не пытайтесь изменить имена файлов и их расширения. Не включайте антивирус и брандмауэр. Единственный способ восстановить доступ к файлам — заплатить за дешифровку. Алгоритм шифрования непобедим. Нет третьей программы для дешифровки этого алгоритма и не будет.
Внимание! Вы должны заплатить за 72 часа. Если оплата не поступит, закрытый ключ будет уничтожен, а файлы будут потеряны.

  Шифруя данные 7ev3n-HONE$T переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 10 разных файлов, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A. После этого 7ev3n-HONE$T добавляет имя зашифрованного файла в файл C:\Users\Public\files.

  Закончив шифрование данных крипто-вымогатель подключается к C&C-серверу и загружает на него различную информацию и статистические данные. Передаваемая информация включает назначенный жертве Bitcoin-адрес, общее количество зашифрованных файлов, количество расширений каждого типа файлов, и уникальный идентификатор. C&C-сервер расположен на IP-адресе 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri As / AS197328).

Когда это сделано, в каталоге C:\Users\Public будут находиться следующие файлы:
C:\Users\Public\conlhost.exe - исполняемый файл крипто-вымогателя;
C:\Users\Public\files - список зашифрованных файлов;
C:\Users\Public\FILES_BACK.txt - альтернативный метод связи с разработчиком;
C:\Users\Public\testdecrypt - список файлов, которые могут быть бесплатно расшифрованы;
C:\Users\Public\time.e - метка времени, когда крипто-вымогатель зашифровал файлы.

  Экран крипто-вымогателя разбивается на четыре разных окна. Первое окно — основной экран блокировки, отображает записку и Bitcoin-адрес для выкупа. Второе окно позволяет выполнить тестовую дешифровку 3-5 файлов. На третьем отображается список всех зашифрованных файлов. Четвертое сообщает о том, как заплатить выкуп.

 
 

Список файловых расширений, подвергающихся шифрованию: 
Вероятно тот же, что и у предыдущей версии: .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n-HONE$T Ransomware: 
C:\Users\Public\conlhost.exe
C:\Users\Public\files
C:\Users\Public\FILES_BACK.txt
C:\Users\Public\testdecrypt
C:\Users\Public\time.e
%Temp%\fpnzzre

Записи реестра, связанные с 7ev3n-HONE$T Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper    C:\users\Public\conlhost.exe
HKCU\Software\crypted    1
HKCU\Software\testdecrypt    1




Используйте на свой страх и риск. 

Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *