LeChiffre

LeChiffre Ransomware

Variants: LeChiffre 2016-2020

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр". Известен с июня 2015 года. Главным образом ориентирован на сервера и компании. 

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.

После его запуска открывается следующее окно с русскоязычными надписями. 

Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Технические детали

Может распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

✋ LeChiffre Ransomware ориентирован на сервера и компании, поэтому необходимо использовать именно серверную и комплексную защиту. Бесплатный антивирус или средство защиты для домашних компьютеров НЕ ЗАЩИТЯТ ВАШ СЕРВЕР И КОМПАНИЮ. 


Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, .png, ... .rar, ... .xls, .xls, .zip

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, серверные элементы управления HTML и пр.

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Степень распространенности: средняя.
Подробные сведения собираются. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt

Обновление от 18 сентября 2016:

Топик на форуме >>

Расширение: .LeChiffre

Обновление от 30 октября 2016:
Топик на форуме >>
Расширение: .LeChiffre
Записка: _how to decodeMX.txt
E-mail: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

➤ Содержание записки:
qxKKjMa5gceDlbtVY3fFsp0q*** [всего 172 знака]
==================
end of secret_key
Hello. 
Your some files were encrypted with the strongest cipher RSA 1024 and AES.
No one will help you to restore files without our decoder. Any programs for
recovering files or disk repair are useless and can destroy your files
irreversibly. Irreversibly. So don't try to decrypt it yourself. We warned you.
There is only one way to restore your files - send e-mail to lechiffre@india.com
with attached file "_how to decode[MX].txt" (you read this file right now).
To test our honesty you can send an one encrypted file less than 4 MB (not zipped)
as *.doc *.xls *.jpg *.pdf, but not database file or backup file 
(*.900 *.001 *.db *.zip *.rar *.bkp etc).
We will decode your sample for free.
You will receive deciphered sample and our conditions how you will get the
decoder. Follow the instructions to send the payment. Be attentive! The decoder
for each server is paid separately.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you
can get the password for free after 6 month wait.
Just send a request immediately after infection and download the decoder.
All data will be restored absolutely. 
Our guarantee of honesty - your deciphered sample. 
E-mail: lechiffre@india.com
E-mail: lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 6 января 2017:

Топик на форуме >>

Расширение: .LeChiffre

Записка: _how to decode[VIVASBSSERVER].txt

Email: lechiffre@india.com, lechiffre@mailchuck.com

Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 9 июня 2020: 

Пост на форуме >>

Расширение: .QLZWVR_LeChiffre

Записка: QLZWVR_LeChiffre_ReadMe.txt

Telegram: @isres

https://t.me/isres

Email: lechiffre@firemail.cc, lechiffre@mailchuck.com

Bitmessage: BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65

➤ Содержание записки:
hello.
to recover your files, send any message to:
telegram  messenger: 
https://t.me/isres
@isres
or
email: 
lechiffre@firemail.cc
reserve method of communication:
email:
lechiffre@mailchuck.com
usually the answer is 1-10min. If there is no answer,
check the spam folder or write from another email where there is no spam filtering.
super reserve method of communication:
bitmessage messenger: 
BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65
download the messenger: https://bitmessage.org/wiki/Main_Page
in the response, you will receive instructions.
Have a nice day!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LeChiffre)
 Write-up, Topic of Support
 ***

Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать Emsisoft Decryptor for LeChiffre можно по этой ссылке >>
Он работает только с файлами, зашифрованными до его выпуска. 
По новым случаям шифрования, пишите на форум Emsisoft >>

© Amigo-A (Andrew Ivanov): All blog articles. Contact.