Если вы не видите здесь изображений, то используйте VPN.

среда, 12 октября 2016 г.

Windows_Security, WS Go

Windows_Security Ransonware 

WS Go Ransonware, Trojan.Encoder.6491


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,052300 биткоинов, чтобы вернуть файлы. Сумма выкупа нефиксированная и для каждого ПК может отличаться, чтобы процесс дешифрования начинался автоматически после оплаты выкупа и онлайн-подтверждения платежа. 

Название получил от основного исполняемого файла Windows_Security.exe

По классификации Dr.Web получил название: Trojan.Encoder.6491. Написан на разработанном компанией Google языке программирования Go, ранее такие шифровальщики ещё не встречались. 

К зашифрованным файлам добавляется расширение .enc 
Активность этого крипто-вымогателя пришлась на октябрь 2016 г. 

Записки с требованием выкупа называются: Instructions.html

Содержание записки о выкупе:
ALL YOUR FILES HAS BEEN ENCRYPTED
All your files have been encrypted using AES 256, there is no way to detrypt them by yourself.
If you want to decrypt them you have to pay aproxmiatly 25$ in Bitcoins to the following address:
Amount: 0.052300 BTCs
To the address lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Do not worry if you don't know what bitcoins are, they are an online currency that is not regulated by any goverment, the price changes daily but now is near the 600$ usd dollars.
To get some bitcoins you can go to some of this web pages:
- Coinbase
In this page you can store your bitcoins and also buy them using your credit card.
It is a safe page, you can chech it online if you aren't sure
- localbitcoins com
Tins a web where people contact each others to exchange Bitcoins for money in paypal, in cash if you find someone nearby and many other ways
I strongly recommend coinbase.com as you can be done un 15 minutes and your files will start decrypting.
I recommend you look for info online if you don't want to use coinbase.com
IT IS EXTREMELY IMPORTANT THAT YOU SEND THE EXACT AMMOUNT AND THAT THIS PROGRAM IS RUNNING
WHILE YOU MAKE THE PAYMENT TO BE ABLE TO CONFIRM THE TRANSACTION
If you can't figure out something send me an email to helpmedecrypt@protonmail.com
You have 72 hours form now on to send the payment or you will lose all the data so don't wait to send an email if you don't know something.
I hope to hear from you soon. 

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с помощью AES 256, нет никакого способа дешифровать их самостоятельно.
Если вы хотите расшифровать их, вам придется заплатить примерно 25$ в биткоинах по следующему адресу:
Сумма: 0.052300 BTC
На адрес lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Не волнуйтесь, если не знаете, что такое биткоины, это онлайн-валюта, которая не регулируется никаким правительством, цена меняется каждый день, но сейчас около 600$ USD долларов.
Чтобы получить биткоины вы можете посетить эти веб-страницы:
- Coinbase
На этой странице вы можете хранить биткоины, а также купить их с помощью кредитки.
Это безопасный сайт, вы можете найти его в Интернете, если не уверены,
- localbitcoins.com
Место в веб, где люди общаются, меняют биткоины на деньги в PayPal, наличные, можно найти кого-то поблизости и много других способов.
Я настоятельно рекомендую coinbase.com, т.к. вы можете сделать всё за 15 минут и ваши файлы начнут дешифровываться.
Я рекомендую вам поискать информацию в Интернете, если вы не хотите использовать couibase.com
КРАЙНЕ ВАЖНО, ЧТО ВЫ ПЕРЕСЛАЛИ ТОЧНУЮ СУММУ, ЧТОБЫ ДАННАЯ ПРОГРАММА ЗАПУСТИЛАСЬ СРАЗУ ПОСЛЕ ТОГО, КАК ВЫ СДЕЛАЕТЕ ПЛАТЁЖ И ПРОИЗОШЛО ПОДТВЕРЖДЕНИЯ ОПЕРАЦИИ. 
Если вы не можете понять, как отправить, пишите мне на email helpmedecrypt@protonmail.com
У вас есть 72 часа, чтобы отправить платеж или вы потеряете все данные, поэтому не ждите, пишите на email, если вы не знаете что-нибудь.
Надеюсь услышать вас позже.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

➤ Шифровальщик устанавливает себя в систему под именем Windows_Security.exe. При запуске проверяет имя своего исполняемого файла на соответствие этому названию. Им шифруются 140 различных типов файлов

➤ Оригинальные имена файлов кодируются методом Base64, а затем к зашифрованным файлам добавляется расширение .enc. Затем удаляются тома теневых копий файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Шифровальщик пропускает и не шифрует файлы: 
1) находящиеся в следующих директориях или имеющие название: 
   tmp, temp, winnt
   Application Data, AppData
   Program Files, Program Files (x86)
   Recycle.Bin
   System Volume Information
   Boot
   Windows
   thumbs.db
2) уже имеющие расширение .enc;
3) относящиеся к вымогателю: 
   Instructions.html
   Windows_Security.exe

➤ Примечательно, что этот шифровальщик-вымогатель с определённым интервалом проверяет баланс Bitcoin-кошелька, на который нужно жертве перевести биткоины. После того, как будет зафиксирован денежный перевод, автоматически начинается процесс дешифровки всех зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
140 типов файлов. 

Файлы, связанные с Windows_Security Ransomware:
%USERPROFILE%\\Desktop\\Instructions.html 
%APPDATA%\Windows_Update\
%APPDATA%\Windows_Update\Windows_Security.exe
%TEMP%\Windows_Security.exe

Записи реестра, связанные с Windows_Security Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
Из описания от Dr.Web

Сетевые подключения:
xxxx://btc.blockr.io/api/v1/address/info/1Bww***Yph9SxP

Результаты анализов:
***

Описание от Dr.Web на русском >>
Description by Dr.Web in English >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Описание от Dr.Web
ID Ransomware (ID as Trojan.Encoder.6491)
 Thanks: 
  Dr.Web
  Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *