четверг, 21 июля 2016 г.

PowerLocky

PowerLocky Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует файлы с помощью AES-128, а затем требует выкуп в $500, эквивалентных 0.74290893 BTC, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locky

© Генеалогия: PoshCoder > Powerware > PowerLocky

  PowerLocky подражает крипто-вымогателю Locky, потому получил свое название от сложения названий вымогателей Powerware и Locky. PowerWare является продолжением PoshCoder, шифровальщика известного с 2014 года, и распространяется аналогично PoshCoder, т.е. через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell, отсюда и название PowerWare.


Remove PowerLocky Decrypt Powerware Decode Restore files Recovery data Удалить PowerLocky Как Дешифровать Расшифровать Восстановить файлы

Записка о выкупе называется _HELP_instructions.html

На TOR-сайте, который используют вымогатели, упомянут Locky Decrypter. 

Текст с экрана:
We present a special software Locky Decrypter
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?

1. Download and install Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins, the price is 500 $ / 0.74290893 BTC and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed eartier. From there, hit the "Send" tab. Send the remaining BTC (bitcoin) to this Bitcoin-wallet address: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Now submit the form below, only if you've actually sent the Bitcoins. Upon manual verification of the transaction you will receive the decrypter through email within 12 hours. ALL of your files/data will then be unlocked and decrypted automatically, HTML ransom files will also be removed.
Do NOT remove HTML ransom files or try to temper files in any way, because decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again!

Перевод на русский:
Мы представляем специальный софт Locky Decrypter
которая может дешифровать и вернуть все ваши зашифрованные файлы.
Как купить Locky Decrypter?

1. Загрузите и установите приложение Multibit. Оно создаст вам адрес на Bitcoin-кошелек. Вы его найдете во вкладке "Request". Вставьте его в поле ниже "Your BTC-address".
2. Купите биткоины на сумму $500 / 0,74290893 BTC и отправьте на адрес вашего Bitcoin-кошелека, они будут отображаться в приложении Multibit, что вы ранее установили. Оттуда нажмите на вкладку "Send". Отправьте остаток BTC (Bitcoin) на адрес Bitcoin-кошелька: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Потом заполните форму ниже, только если вы на самом деле послали биткоины. При ручной проверке сделки вы получите Decrypter по email в течение 12 часов. ВСЕ ваши файлы/данные будут автоматом разблокированы и расшифрованы, HTML-файлы о выкупе будут удалены.
Не удаляйте эти HTML-файлы и подобные файлы ни в коем случае, потому что Decrypter не будет работать.
Пожалуйста помните, это единственный способ получения доступа к вашим файлам!

Для распространения использует email-спам с вредоносным вложением, эксплуатируя возможности Microsoft Word и PowerShell, языка сценариев Microsoft Windows. 

При установке, PowerShell, расположенный по адресу %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1, извлекает исполняемый файл вымогателя и запускает его в качестве сценария. После запуска вымогатель начинает шифровать данные на всех дисках и добавлять расширение .locky к именам зашифрованных файлов. Он также создаст записку с требованием выкупа в каждой папке, в которой есть зашифрованные файлы.

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 

Детект на VirusTotal >>>


Эксперты Palo Alto создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку. Майкл Джиллеспи из BleepingComputer придал этому инструменту привычный для пользователей вид, снабдив его интерфейсом. Эта версия PowerWare получила название PowerLocky, из-за его подражание работе реального Locky. Прикрываясь названием более сложного крипто-вымогателя, злоумышленники хотят запугать жертву и принудить её заплатить выкуп как можно быстрее. 

Степень распространенности: низкая
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.


Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton