Surprise Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 25 биткоинов, чтобы вернуть файлы обратно. Название происходит. К зашифрованным файлам добавляется расширение .surprise или .tzu в другой версии. Активность этого криптовымогателя пришлась на март 2016 г.
© Генеалогия: EDA2 >> Surprise
Записки с требованием выкупа являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе.
Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you don’t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.
Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Невозможно дешифровать файлы без ключа.
Если файлы для вас не важны, переустановите систему.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Напишите нам на оба email-адреса, пожалуйста
Мы берём только Bitcoin, если не знаете, что это, погуглите.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
Вышлите нам 1 зашифрованный файл для дешифровки.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.
В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.
По словам эксперта компании PrivacyPC Дэвида Балабана, анализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.
Список файловых расширений, подвергающихся шифрованию:
.3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .ais, .amf, .amr, .amu, .amx, .ans, .ap, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bsp, .cag, .cam, .car, .cbr, .cbz, .ccd, .cch, .cd, .cdr, .cer, .cgf, .chk, .cms, .col, .crd, .crt, .cso, .ctt, .cty, .dal, .dap, .ddc, .ddcx, .dem, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .err, .euc, .evo, .faq, .fcd, .fdr, .fds, .ff, .flp, .flv, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lcd, .lcf, .ldb, .lgp, .lp2, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .msg, .msp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .png, .pot, .potx, .ppd, .ppf, .pps, .ppsx, .ppt, .pptm, .pptx, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qtq, .ra, .rar, .raw, .rev, .rgn, .rng, .rrt, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .snp, .spr, .sql, .sqx, .srt, .ssa, .stt, .stx, .sud, .svi, .svr, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .trp, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wsh, .wtd, .wtf, .wvx, .xl .xls, .xlsm, .xlsx, .xpi, .xvid, .xwd, .z02, .z04, .zap, .zip, .zipx, .zoo (343 расширения).
Файлы, связанные с Surprise Ransomware:
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\Encrypted_Files.Notepad
%Desktop%\surprise.bat
%Desktop%\surprise.exe
Сетевые подключения и связи:
nowayout@protonmail.com
nowayout@sigaint.org
besthuk@mail.ru
viper317887@gmail.com
wearehere@sigaint.org
Обновление от 21 февраля 2017:
Email: besthuk@mail.ru viper317887@gmail.com wearehere@sigaint.org
Содержание записки:
What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to besthuk@mail.ru ; viper317887@gmail.com ; wearehere@sigaint.org
Write your Email to ALL email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 100 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.
Обновление от 7 марта 2017:
Расширение: .tzu
Степень распространённости: низкая.
Подробные сведения собираются.
Ссылки:
Статья на BC
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.