пятница, 21 октября 2016 г.

ASN1 Encoder

ASN1 Encoder Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,25-0,5 биткоинов, чтобы вернуть файлы. Название получил из-за использования ASN1-ключа. Оригинальное название: segui.

© Генеалогия: неизвестна

К зашифрованным файлам расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на итальянских пользователей.

Записки с требованием выкупа называются: !!!!!readme!!!!!.htm

Содержание записки о выкупе на итальянском:
Tutti i file sono stati cifrati!
1. Scaricare e installare Tor Browser (consigliata) o utilizzare il browser standard.
2. Seguire il link che stato generato per voi.
3. Nella pagina successiva si vedr un portafoglio Bitcoin a pagare, dopo si paga, si otterr la chiave per decifrare i file.
4. Evidenziare (CTRL + A) e copia (CTRL + C) la chiave nella clipboard, decodifica inizier.
5. Per favore, non aprire i file durante la decrittografia - ha aperto i file non possono essere decifrati.
http://dxostywsduvmn6ra.onion/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000
http://dxostywsduvmn6ra.onion.cab/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000

Перевод записки на русский язык:
Все файлы зашифрованы!
1. Скачайте и установите Tor Browser (рекомендуется) или используйте стандартный браузер.
2. Перейдите по ссылке, которая была создана для вас.
3. На следующей странице вы увидите Bitcoin-кошелек, чтобы заплатить, после оплаты вы получите ключ для расшифровки файлов.
4. Выделите (CTRL + A) и скопируйте (CTRL + C) ключ в буфер обмена чтобы начать декодирование.
5. Пожалуйста, не открывайте файлы при расшифровке - открытые файлы не будут расшифрованы. 
хттп://dxostywsduvmn6ra.onion/if.php***
хттп://dxostywsduvmn6ra.onion.cab/if.php***

По ссылкам открывается onion-сайт со следующим содержанием.
Сначала сумма выкупа была 0,25, а сейчас уже 0,5. В скобках по-прежнему стоит 0. Это говорит о том, что пострадавшая сторона не заплатила выкуп, и он удвоился. 

Содержание текста с сайта:
Your files were encrypted!
0.5(0) BTC -> 1ATXMvsbKRrGpNFbKrJAQXgT8XEbaHjSAi (0:21:31:28)
For getting decryption key you must to pay amount, written above, to bitcoin address, written above. Amount in brackets indicates already paid amount. For buy bitcoin online, google it now. This page will refreshed every 120 seconds. If you already paid, please, wait for page refreshing.
If sofware was deleted, download it now. Absense of payment during next five days will double amount.
Chat with support now

Красным цветом выделены слова с ошибками. 

Перевод на русский язык:
Ваши файлы зашифрованы!
Для получения ключа дешифрования вы должны заплатить сумму, написанную выше, на Bitcoin-адрес, написанный выше. Сумма в скобках указывает на уже оплаченную сумму. Чтобы купить Bitcoin в Интернете, гугли сейчас. Эта страница будет обновляться каждые 120 секунд. Если вы уже оплатили, пожалуйста, подождите обновления страницы.
Если программа была удалена, скачайте её снова. Без оплаты в течение следующих пяти дней сумма удвоится.
Чат с поддержкой

Ещё текст записки:
YOUR FILES WERE ENCRYPTED!
1. Download and install TOR browser (recommended) or use your standard browser.
2. Follow the link that was generated for you.
3. On the next page you will see a Bitcoin wallet to pay, after you pay, you will get the key for decrypting your files.
4. Highlight (CTRL + A) and copy (CTRL + C) the key in clipboard, decoding will start.
5. Please, do not open files during decryption - opened files can not be decrypted

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, эксплойта RIG.

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
В первую очередь файлы документов, изображений и прочие. 

Файлы, связанные с ASN1 Encoder Ransomware:
<random_name>.exe - вредоносное вложение;
!!!!!readme!!!!!.htm - записка о выкупе;
segui.exe - декриптор от вымогателей. 
%APPDATA%\db05dbac.exe
%TEMP%\nskE285.tmp\System.dll
%TEMP%\stockhorns.dll
и другие. 

Записи реестра, связанные с ASN1 Encoder Ransomware:
См. ниже результата анализов. 

Сетевые подключения:
хттп://nsis.sf.net/NSIS_Error
www.torproject.org/download/download.html
dxostywsduvmn6ra.onion

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 25 ноября 2016:
Пост в Твиттере
Записка: !!!!!readme!!!!!.htm 
Результаты анализов: VT

Обновление от 25 ноября 2016:
Файлы: !!!!!readme!!!!!.htm  Readme.txt
%APPDATA%\43eea007.exe  <random>.exe
43eea007.exe.dat  <random>.exe.bat
Результаты анализов: VT, HA
Блокировщик экрана: 



Обновление от 2 марта 2017:
Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Сумма выкупа: 0.5 BTC
Расширения: нет
Распространение: эксплойт RIG




Обновление от 18 июля 2017:

Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Результаты анализов: VT
<< Скриншот записки







 Read to links: 
 Topic on BC
 ID Ramsomware
 *
 Thanks: 
 Michael Gillespie
 Malware Breakdown
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton