Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 2 октября 2016 г.

Dr. Fucker

Dr. Fucker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все ПК скомпрометированной сети, чтобы вернуть файлы. Оригинальное название: dr fucker. 

© Генеалогия: SamSam > Dr. Fucker

К зашифрованным файлам добавляется расширение .iloveworld.

Активность этого криптовымогателя пришлась на конец сентября 2016 г. 


Записки с требованием выкупа называются:
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<num>.html, где <num> - некий номер, данный вредоносом компьютеру жертвы, иными словами <victim_id>. 

Содержание записки о выкупе:
#What happened to your files?
All your files encrypted with RSA-2048 encryption, For more information search in Google “RSA Encryption.”
#How to recover files?
RSA is an asymmetric cryptographic algorithm; You need one key for encryption and one key for decryption.
So you need Private key to recover your files.
It’s not possible to recover your files without private key
#How to get private key?
You can get your private key in 3 easy step:
Step1: You must send us 1.7 BitCoin for each affected PC OR 29 BitCoins to receive ALL Private Keys for ALL affected PCs.
Step2: After you send us 1.7 BitCoin, Leave a comment on our Site with this detail: Just write Your “Host name” in your comment.
*Your Host name is: WIN-{Unique identification}
Step3: We will reply to your comment with a decryption software. You should run it on your affected PC, and all encrypted files will be recovered.
*Our Site Address: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
*Our BitCoin Address:1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(If you send us 29 BitCoins For all PC’s, Leave a comment on our site with this detail: Just write “For All Affected PC’s” in your comment)
(Also if you want to pay for “all affected PC’s” You can pay 14 Bitcoins to receive half of keys(randomly) and after you verify it send 2nd half
How To Access To Our Site
For access to our site you must install Tor browser and enter our site URL in your tor browser.
You can download tor browser from https://www.torproject.org/download/download.html.en
For more information, please search in Google “How to access onion sites”
# Test Decryption #
Check our site, You can upload two encrypted files, and we will decrypt your files as demo.
#Where to buy Bitcoin
We advice you to buy Bitcoin with Cash Deposit or WesternUnion From xxxxs://localbitcoins.com/ or xxxxs://coincafe.com/buybitcoinwestern.php
Because they don’t need any verification and send your Bitcoin quickly.
#deadline
You just have 7 days to send us the BitCoin after 7 days we will remove your private keys and it’s impossible to recover your files

Перевод записки на русский язык:
# Что случилось с файлами?
Все ваши файлы зашифрованы с RSA-2048 шифрованием, Для дополнительной информации ищите в Google "RSA Encryption."
# Как восстановить файлы?
RSA является асимметричным криптографическим алгоритмом; Вам нужен один ключ для шифрования и один ключ для дешифровки.
Потому вам нужен секретный ключ для восстановления файлов.
Это невозможно восстановить файлы без секретного ключа.
# Как получить секретный ключ?
Вы можете получить свой секретный ключ в 3 простых шага:
Шаг 1: Вы должны прислать нам 1,7 BTC для каждого пострадавшего ПК или 29 BTC за все секретные ключи для всех затронутых ПК.
Шаг 2: После того, как вы отправите нам 1,7 Bitcoin, оставьте комментарий на нашем сайте c деталями: Просто напишите ваш "Host name" в ваш комментарий.
* Ваше имя хоста: WIN-{Уникальный-идентификатор}
Шаг 3: Мы ответим на ваш комментарий с программой для дешифрования. Вы должны запустить его на пострадавшем компьютере, и все зашифрованные файлы будут восстановлены.
* Наш сайт-адрес: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
* Наш Bitcoin-адрес: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(Если вы пришлете нам 29 BTC для всех ПК, оставьте комментарий на нашем сайте с этой деталью: Просто напишите "For All Affected PC’s" в ваш комментарий)
(Кроме того, если вы хотите платить за "все пострадавшие ПК" вы можете заплатить 14 BTC и получить половину ключей (рэндомно), и после того, как вы проверите их, отправить 2-ю половину суммы
Как получить доступ к нашему сайту
Для получения доступа к нашему сайту вы должны установить Tor-браузер и ввести URL нашего сайта в вашем Tor-браузере.
Вы можете скачать Tor Browser из xxxxs://www.torproject.org/download/download.html.en
Для получения дополнительной информации, пожалуйста, ищите в Google "How to access onion sites"
# Тест дешифрование #
Проверив наш сайт, вы можете загрузить два зашифрованных файлов, и мы расшифруем ваши файлы для демонстрации.
# Как купить Bitcoin
Мы рекомендуем вам купить Bitcoin у Cash Deposit или WesternUnion из xxxxs://localbitcoins.com/ или xxxxs://coincafe.com/buybitcoinwestern.php
Потому что они не нуждаются в проверке и отправят Bitcoin быстро.
# Крайний срок
У вас только 7 дней, чтобы отправить нам Bitcoin, через 7 дней мы удалим ваши личные ключи, и восстановить файлы будет невозможно.

Сайт вымогателей в сети Tor: 5hvtr4qvmq76zyfq.onion/alpinism/



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Вероятно, аналогичен списку SamSam Ransomware

Файлы, связанные с Dr. Fucker Ransomware:
gotohelldr.exe
barbinor2.exe
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<victim_id>.html

Сетевые подключения и связи:
Tor-URL: xxxx//5hvtr4qvmq76zyfq.onion/alpinism/
BTC: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.


Read to links: 
Tweet on Twitter
ID Ransomware (to ID SamSam)
 Thanks: 
 Karsten Hahn
 Demonslay335 
 *
 
© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *