ASN1 Encoder Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,25-0,5 биткоинов, чтобы вернуть файлы. Название получил из-за использования ASN1-ключа. Оригинальное название: segui.
© Генеалогия: неизвестна
К зашифрованным файлам расширение не добавляется.
Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на итальянских пользователей.
Записки с требованием выкупа называются: !!!!!readme!!!!!.htm
Содержание записки о выкупе на итальянском:
Tutti i file sono stati cifrati!
1. Scaricare e installare Tor Browser (consigliata) o utilizzare il browser standard.
2. Seguire il link che stato generato per voi.
3. Nella pagina successiva si vedr un portafoglio Bitcoin a pagare, dopo si paga, si otterr la chiave per decifrare i file.
4. Evidenziare (CTRL + A) e copia (CTRL + C) la chiave nella clipboard, decodifica inizier.
5. Per favore, non aprire i file durante la decrittografia - ha aperto i file non possono essere decifrati.
http://dxostywsduvmn6ra.onion/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000
http://dxostywsduvmn6ra.onion.cab/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000
Перевод записки на русский язык:
Все файлы зашифрованы!
1. Скачайте и установите Tor Browser (рекомендуется) или используйте стандартный браузер.
2. Перейдите по ссылке, которая была создана для вас.
3. На следующей странице вы увидите Bitcoin-кошелек, чтобы заплатить, после оплаты вы получите ключ для расшифровки файлов.
4. Выделите (CTRL + A) и скопируйте (CTRL + C) ключ в буфер обмена чтобы начать декодирование.
5. Пожалуйста, не открывайте файлы при расшифровке - открытые файлы не будут расшифрованы.
хттп://dxostywsduvmn6ra.onion/if.php***
хттп://dxostywsduvmn6ra.onion.cab/if.php***
По ссылкам открывается onion-сайт со следующим содержанием.
Сначала сумма выкупа была 0,25, а сейчас уже 0,5. В скобках по-прежнему стоит 0. Это говорит о том, что пострадавшая сторона не заплатила выкуп, и он удвоился.
Содержание текста с сайта:
Your files were encrypted!
0.5(0) BTC -> 1ATXMvsbKRrGpNFbKrJAQXgT8XEbaHjSAi (0:21:31:28)
For getting decryption key you must to pay amount, written above, to bitcoin address, written above. Amount in brackets indicates already paid amount. For buy bitcoin online, google it now. This page will refreshed every 120 seconds. If you already paid, please, wait for page refreshing.
If sofware was deleted, download it now. Absense of payment during next five days will double amount.
Chat with support now
Красным цветом выделены слова с ошибками.
Перевод на русский язык:
Ваши файлы зашифрованы!
Для получения ключа дешифрования вы должны заплатить сумму, написанную выше, на Bitcoin-адрес, написанный выше. Сумма в скобках указывает на уже оплаченную сумму. Чтобы купить Bitcoin в Интернете, гугли сейчас. Эта страница будет обновляться каждые 120 секунд. Если вы уже оплатили, пожалуйста, подождите обновления страницы.
Если программа была удалена, скачайте её снова. Без оплаты в течение следующих пяти дней сумма удвоится.
Чат с поддержкой
Ещё текст записки:
YOUR FILES WERE ENCRYPTED!
1. Download and install TOR browser (recommended) or use your standard browser.
2. Follow the link that was generated for you.
3. On the next page you will see a Bitcoin wallet to pay, after you pay, you will get the key for decrypting your files.
4. Highlight (CTRL + A) and copy (CTRL + C) the key in clipboard, decoding will start.
5. Please, do not open files during decryption - opened files can not be decrypted
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, эксплойта RIG.
После шифрования удаляются теневые копии файлов командой:
vssadmin.exe delete shadows /all /quiet
Список файловых расширений, подвергающихся шифрованию:
В первую очередь файлы документов, изображений и прочие.
Файлы, связанные с ASN1 Encoder Ransomware:
<random_name>.exe - вредоносное вложение;
!!!!!readme!!!!!.htm - записка о выкупе;
segui.exe - декриптор от вымогателей.
%APPDATA%\db05dbac.exe
%TEMP%\nskE285.tmp\System.dll
%TEMP%\stockhorns.dll
и другие.
Записи реестра, связанные с ASN1 Encoder Ransomware:
См. ниже результата анализов.
Сетевые подключения:
хттп://nsis.sf.net/NSIS_Error
www.torproject.org/download/download.html
dxostywsduvmn6ra.onion
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Обновление от 25 ноября 2016:
Пост в Твиттере
Записка: !!!!!readme!!!!!.htm
Результаты анализов: VT
Обновление от 25 ноября 2016:
Файлы: !!!!!readme!!!!!.htm Readme.txt
%APPDATA%\43eea007.exe <random>.exe
43eea007.exe.dat <random>.exe.bat
Результаты анализов: VT, HA
Блокировщик экрана:
Обновление от 2 марта 2017:
Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Сумма выкупа: 0.5 BTC
Расширения: нет
Распространение: эксплойт RIG
Обновление от 18 июля 2017:
Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Результаты анализов: VT
<< Скриншот записки
Read to links: Topic on BC ID Ramsomware *
Thanks: Michael Gillespie Malware Breakdown *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.