пятница, 1 июля 2016 г.

Unlock92

Unlock92 Ransomware (v.1-2)

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES / RSA и требует прислать на почту UNLOCK92@INDIA.COM один из зашифрованных файлов. Ответ вымогатели обещают дать в течении суток. 

  Текстовой записки о выкупе нет, потому инструкция написана на русском языке на скринлоке, встающем обоями рабочего стола — файле qqq.jpg

К зашифрованным файлам добавляется расширение .CRRRT
В последующих обновлениях добавлялись другие различные расширения (см. внизу статьи в обновлениях). 

Список файловых расширений, подвергающихся шифрованию:
.cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .db, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .ai, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg

Файлы, связанные с этим Ransomware:
<random>.exe
qqq.jpg
key.bin

Сетевые подключения и связи:
Email: UNLOCK92@INDIA.COM

Обновление от 7 июля 2016
Новая версия: Unlock92 2.0
Новое расширение: .CCCRRRPPP
Новый скринлок: ORID.jpg
В новой версии Unlock92 2.0 вымогатели перешли на шифрование с помощью RSA-2048, закрытый ключ затем шифруется с помощью статического открытого ключа RSA. 

Обновление от 1 августа 2016 г. 

Новое расширение: .blocked
Новая записка о выкупе, текстовая: !!!!!!!!Как восстановить файлы!!!!!!!.txt 
Детект на VirusTotal >>>

Содержание записки претерпело незначительные изменения: 
Ваши файлы зашифрованы с использованием крипто-стойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт:
fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Заявление об используемом алгоритме верно. Файлы шифруются со случайным  открытым ключом RSA-2048, а закрытый ключ шифруется с помощью статического открытого ключа RSA-2048 и сохраняется как keyvalue.bin. Файлы можно дешифровать только с использованием секретного ключа преступника.

---------------
Обновление от 27 сентября 2017:
Составное расширение: 29112010.xls.id-1C256E56.[decrypt.guarantee@aol.com].block
Email: decrypt.guarantee@aol.com
Тема на форуме >>

Обновление от 20 октября 2016:
Шифрование: RSA-2048
Оригинальное название: BTTP.exe
Вредоносное вложение: карта партнера.doc.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion

Обновление от 27 октября 2016:
C# версия
Оригинальное название: BCART.exe
Вредоносное вложение: pdf.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Извлеченные файлы: !!!!!!!!E !!!!!!!.txt, keyvalue.bin, BBhrpau[1].jpg

Обновление от 20 ноября:
Новый файл: KSATAT.exe
Новое расширение: .kukaracha
Другие файлы: keycode.tta
Результаты анализов: VT  

Обновление от 30 ноября:
Новый файл: LAMAR.exe
Новое расширение: .kukaracha
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT

Обновление от 16 декабря:
Новый файл: MKEMBE.exe
Новое расширение: .kukaracha
Записка: keycode.tta
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT

Обновление от 8 июня 2017:
Записка: !_ИНСТРУКЦИЯ_!.txt
Расширение .cr020801
Email: unlckr@protonmail.com
См. статью Unlckr Ransomware

Обновление от 18 июля 2017:
Записка: !----README----!.jpg
Расширение .crptd
Email: unlckr@protonmail.com
См. статью Naampa Ransomware.

Обновление от 14 октября 2017:
Пост в Твиттере >>
Название проекта: notrad
Исполняемый файл: notrad.exe
Специальный файл: ktw.sas
Email: unlckr@protonmail.com
TOR: xxxx://n3r2kuzhw2h7x6j5.onion
Результаты анализов: VT




Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (Unlock92 и Unlock92 2.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.



 Внимание!!! 
Для зашифрованных файлов есть декриптер.
Скачать Unlock92 Decrypter для 1-й версии

Если вы пострадали от новой 2-й или новой версии шифровальщика, то обращайтесь на форум BleepingComputer.


Remove Unlock92 Decrypt Unlock92 Decode Restore files Recovery data Удалить Unlock92 Дешифровать Расшифровать Восстановить файлы

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *