четверг, 8 декабря 2016 г.

FLKR

FLKR Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует файлы блоками по 512 байт с помощью Blowfish, а затем требует связаться по email или jabber, для получения инструкций по расшифровке. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение _morf56@meta.ua_
Оригинальные имена и расширения не изменяются. 

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных или русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INSTRUCT.txt

Содержание записки о выкупе:
Information is encrypted with a strong password. 
To decrypt it e-mail: morf56@meta.ua for instructions. 
Reserve communication channel - this jabber: fhmjfjf@default.rs 
Use jabber only when conversation via email is not possible

Перевод записки на русский язык:
Информация зашифрована с сильным паролем.
Для расшифровки e-mail: morf56@meta.ua для инструкций.
Резервный канал связи - это jabber: fhmjfjf@default.rs
Используй jabber только если связь по email невозможна

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.: .dat, .dll, .doc, .docx, .exe, .pdf, .xls, .xlsx и многие другие.

При шифровании пропускаются файлы в папках: 
Windows, Program files, Program files (x86)
System volume information
Documents and settings, Users
Install, Music, Intel, adfs, cpqsystem

Пропускаются файлы следующих типов: 
.txt, .mp3, .avi

Удаляются файлы без шифрования файлы типов:
.bak, .tib 

Файлы, связанные с этим Ransomware:
flkr.exe - основной исполняемый файл
C:\cpqsystem\rel1711\flkr.exe
C:\cpqsystem\rel1711\delmeflk.bat
C:\cpqsystem\rel1711\delmelaun.bat
C:\cpqsystem\rel1711\launcher.exe
INSTRUCT.txt
<random>.bat
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: morf56@meta.ua
jabber: fhmjfjf@default.rs

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2017:
Дополнение к расширению: +asdasd333@default.rs
Контакт в Jabber: asdasd333@default.rs
Записка: INSTR.txt
Тема на форуме >>

➤ Содержание записки: 
Для расшифровки пишите в джаббер: asdasd333@default.rs , Ваш ПИН: 69 --- 
In order to decrypte files please contact me via Jabber asdasd333@default.rs your pin 69

Обновление от 21 мая 2018:
Дополнение к расширению: __murzik@jabber.mipt.ru
Email: murzik@jabber.mipt.ru
Файл с ключом: dakeys.txt
Записка: INSTRUCTION.txt
➤ Содержание записки:
Хотите расшифровать Ваши файлы? Пишите на джаббер (xmpp): murzik@jabber.mipt.ru (можете писать в оффлайн если нас нет в онлайне) Ваш PIN: **
Топик на форуме >>

Обновление от 5 июля 2018: 
Пост в Твиттере >>
Расширение: +superuser111@0nl1ne.at
Email: superuser111@0nl1ne.at
Записка: INSTRUCTIONX.txt
➤ Содержание записки: 
To decrypt files - Jabber (xmpp) address: superuser111@0nl1ne.at (if we are offline - you can write offline, its ok) PIN: 44
Результаты анализов: VT + JSC


Обновление от 25 декабря 2018:
Расширение: +jabber-hellobuddy@sj.ms
Jabber: hellobuddy@sj.ms
Записка: INSTRUCTIONS.txt
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: hellobuddy@sj.ms (можете писать в оффлайн) Ваш PIN: **

Обновление от 11-18 марта 2019:
Пост в Твиттере >>
Расширение: +jabber-winnipyh123@sj.ms
Записка: INSTRUCTIONS.txt
Jabber: winnipyh123@sj.ms

Обновление от 10 мая 2019:
Пост в Твиттере >>
Расширение: +jabber-theone@safetyjabber.com
Записка: INSTRUCTIONS.txt
Jabber: theone@safetyjabber.com
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: theone@safetyjabber.com (можете писать в оффлайн) Ваш PIN: **.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
За дешифровкой обращайтесь к thyrex по ссылке >>
Увы... Для зашифрованных файлов новых версий FLKR нет дешифровщика. 
Файлы могут быть дешифрованы только с использованием (закрытого) секретного 
ключа, находящегося у злоумышленника.
 Read to links: 
 Topic on VI
 Tweet on Twitter
 ID Ransomware (ID as FLKR)
 *
 Thanks: 
 Thyrex, Andrew Ivanov
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton