Если вы не видите здесь изображений, то используйте VPN.

пятница, 2 декабря 2016 г.

SQ_, VO_

SQ_ Ransomware 

VO_ Ransomware 

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA-1024, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы. Название SQ_ было известно c июля 2015. VO_ — это новая итерация того же вымогателя. 

© Генеалогия: SQ_ >> VO_ > nk_

К зашифрованным файлам добавляется приставка VO_

Активность новой версии этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных и корейскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: VO_ IN DOCUMENTS..txt
Содержание записок о выкупе со времён SQ_ изменилось. 

Содержание записки о выкупе (первая часть на английском):
Good morning. Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc. 
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contains VO_
Your number: 338888409888891
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (today 1 bitcoin was 260 USA dollars). Only we and you know about this bitcoin address.
You can check bitcoin balanse here -  https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
After payment send us your number on our mail pwwu@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering 
bitcoin.https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
You dont need install bitcoin software - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Содержание записки о выкупе (вторая часть на корейском):
컴퓨터가 랜섬웨어에 의해 잠겨 있습니다 개인 파일은 암호화되며, 당신은 불행하게도 모든 사진을 "손실"한
컴퓨터 파일과 문서. 중요한 파일 암호화는이 컴퓨터에 생성 : 동영상, 사진, 문서 등
암호화는이 컴퓨터에 생성 된 고유 공개 키 RSA-1024을 사용하여 제조 하였다. 파일의 암호를 해독하려면 개인 키를 획득해야합니다.
모든 암호화 된 파일은 VO_
을 포함
전화 번호 : 338888409888891
모든 파일의 암호를 해독 할,이 컴퓨터 프로그램을 구하려면, 당신은 지불 할 필요가
우리의 비트 코인 주소 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 에서 4 bitcoins (오늘 1 비트 코인은 260 이었다). 단지 우리와이 비트 코인 주소에 대해 알고.
https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 - 여기 balanse을 비트 코인 확인할 수 있습니다
지불 한 것은 (당신은 단지 필요를 실행하고 모든 파일이 1..3 시간 동안 암호를 해독 할 것이다) 우리의 메일 pwwu@ruggedinbox.com 우리에게 전화 번호를 보내 우리는 당신에게 암호 해독 도구를 보내드립니다
지불하기 전에 당신은 우리에게 하나의 작은 파일 (100..500 킬로바이트)를 보낼 수 있습니다 우리는 암호를 해독합니다 - 우리가 해독 도구가 당신의 garantee입니다. 그리고 첨부 파일로 우리에게 번호를 보내.
우리는 당신을 누구 잘 모릅니다. 모든 우리는 필요 - 그것은 돈이다.
우리는 24 시간에 당신을 응답하지 않는 경우 당황하지 마십시오. 그것은 당신이 사용하는 경우 우리가 (예를 들어, 당신의 편지를받지 않았 음을 의미 hotmail.com 또는 outlook.com
이 편지를 차단할 수 있습니다, 그래서 HOTMAIL.COM 및 OUTLOOK.COM를 사용하지 마십시오. 당신은 (그것을 것 1..2 분 소요) www.ruggedinbox.com에 메일 계정을 등록하고 우리를 다시 작성해야합니다)
당신은 비트 코인 전송하는 비트 코인 기 중 하나를 사용할 수 있습니다.
https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
당신은 그나마 비트 코인 소프트웨어를 설치해야합니다 - 당신이 필요로하는 단지 당신이 당신의 나라를 위해 www.google.com을 찾을 수있는이 기 또는 다른 교환기 중 하나를 사용합니다.
당신의 편지에서 영어를 사용하십시오. 당신이 영어를 못하는 경우 영어에 당신의 편지를 번역하는 https://translate.google.com를 사용합니다

Перевод записки на русский язык:
Доброе утро. Ваш компьютер был заблокирован вымогателем, ваши личные файлы зашифрованы, и вы, к сожалению, "потеряли" все ваши фото, файлы и документы на компьютере. Важные файлы зашифрованные на этом компьютере: видео, фото, документы и т.д.
Шифрование было произведено с использованием уникального открытого ключа RSA-1024, сгенерированный для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Все зашифрованные файлы содержат VO_
Ваш номер: 338888409888891
Чтобы получить программу для этого компьютера, который расшифрует все файлы, вам нужно оплатить 4 биткоина на наш Bitcoin адрес 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (сегодня 1 биткоин был равен 260 долларам США). Только мы и вы знаем об этом Bitcoin адресе.
Вы можете проверить баланс Bitcoin здесь - https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
После оплаты пришлите нам свой номер на нашу email pwwu@ruggedinbox.com и мы вышлем вам инструмент дешифрования (вам нужно только запустить его и все файлы будут расшифрованы в течение 1...3 часов)
Перед оплатой вы можете отправить нам один небольшой файл (100..500 килобайт) и мы его расшифруем - это ваша гарантия, что у нас есть инструмент дешифрования. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто вы. Все, что нам нужно - это какие-то деньги.
Не паникуйте, если мы не ответим вам в течение 24 часов. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com. он может блокировать письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам необходимо зарегистрировать аккаунт mail в www.ruggedinbox.com (это займёт 1..2 минут) и напишите нам снова)
Вы можете использовать один из этих Bitcoin обменников для передачи
bitcoin.https: //www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
Вам не нужно устанавливать программу Bitcoin - вам только нужно использовать один из этих обменников или другой обменник, которые вы можете найти в www.google.com для вашей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, чтобы перевести ваше письмо на английский язык.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
VO_ IN DOCUMENTS..txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2017:
Пост в Твиттере >>
Добавление к файлам: nk_
Записка: NK_ IN YOUR FILES..txt
Содержание записки на английском и корейском:
Расположение текста в записках было сильно растянуто. Для представления скриншотов я собрал текст в строки. 

Обновление от 28 декабря 2017:
Пост в Твиттере >>
Добавление к файлам: BA_
Записка: BA_ IN YOUR FILES..txt
BTC: 1KPKRsgtFHLnAV6VMuVPh5XhReh3w5FzsJ
Расположение текста в записках было сильно растянуто. Для удобства представления скриншота записки я собрал текст в строки. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SQ_)
 Topic on BC
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *