понедельник, 21 марта 2016 г.

Xorist

Xorist Ransomware

(шифровальщик-вымогатель, семейство)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Это целое семейство крипто-вымогателей, базирующееся на крипто-конструкторе Encoder Builder, котором можно задавать различные параметры для будущего крипто-вымогателя: список целевых расширений для шифрования, формат расширения, добавляемого к зашифрованным файлам, алгоритм шифрования (XOR или TEA), пароль шифрования, число попыток для ввода пароля, пароль дешифрования, язык интерфейса, изображения для экрана блокировки и смены обоев, добавление в автозагрузку системы и другие фичи. 

  После выбора необходимых опций создать новый крипто-вымогатель этого семейства можно нажатием всего одной кнопки Create! (Создать!).


Так выглядит Builder для Xorist-вымогателей (английская и русская версия)

По умолчанию, Encoder Builder настроен на создание стандартного для Xorist-семейства сообщения с требованием выкупа, но все, разумеется, настраивается под желание создающего. 

Пострадавших от семейства Xorist-вымогателей становится всё больше в запросах помощи на форумах безопасности и лечения от вирусов.

Проблема идентификации криптовымогателя заключается в том, что зашифрованные файлы имеют различные расширения, различаются и записки с требованием выкупа, что затрудняет жертве поиск информации на получение помощи. Например, мы видели варианты этих вымогателей, которые добавляли к зашифрованным файлам следующие расширения:  EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259

И это только часть вариантов.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx,.zip (57 расширений). 

Степень распространённости: высокая.
Подробные сведения собираются. 


Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи крипто-вымогателей.


Внимание!!! 
Для зашифрованных файлов есть декриптер. 

4 комментария:

  1. Обновление от 18 апреля 2017:
    Email: workencryptincfolder@india.com
    Пример зашифрованного файла: file_name.doc.workencryptincfolder@india.com=.cerberV5
    Генерируются уникальные параметры для каждой папки. Файлы шифруются разными ключами.

    ОтветитьУдалить
  2. Обновление от 12 мая 2017:
    Email: decripted2017@gmail.com
    Расширение: .decripted2017@gmail.com

    ОтветитьУдалить
  3. Обновление от 16 мая 2017:
    Расширение: .SaMsUnG
    https://twitter.com/demonslay335/status/864466910141919232
    https://www.virustotal.com/ru/file/bc83780c9d1208afaba984838f549d9fe8da2389da1649d164a2386d011f131d/analysis/1494927487/

    ОтветитьУдалить
  4. Обновление от 23 мая 2017:
    Расширение: .xdata
    Файл: .exe
    https://twitter.com/demonslay335/status/867391177116536832
    https://www.virustotal.com/ru/file/86dcaefa62078410985a42451a837031a90adc36839966dfc088c733966fe1bb/analysis/1495581340/

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *