пятница, 13 января 2017 г.

LambdaLocker

LambdaLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA и SHA-256, а затем требует выкуп в 0,5-1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: LambdaLocker. Начало

К зашифрованным файлам добавляется расширение .lambda_l0cked


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.hTmL
Написаны на английском и китайском языках. 

Содержание записки о выкупе:
!!!WARNING!!!
Your files are encrypted by the LambdaLocker.
Your ID: 4530-1xxx-2xxx-5xxx
We used AES-256 and SHA-256 cipher to encrypt. So DO NOT try to crack your files.
The way to DECRYPT:
Step1: pay 0.5 Bitcoin to 1MJod*** (Case Sensitive, Please copy this address) in 1 month.
Step2: send an E-MAIL to lambdasquad.hl@yandex.com after you finish step 1
Format:
Subject: decryptLL
Body: [Your ID]P05 (Example:[1234-1234-1234]P05)
Step3: Please wait. We will send the decrypter and the key to you in 3 hours.
How to get Bitcoins and pay?
  1. Register a Bitcoin Trade Platform.
  2. Buy Bitcoins through the platform.
  3. Pay 0.5 Bitcoins to 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 and follow the decrypt step.
  If you can't understand, please Google: How can I buy and pay bitcoin?
Bitcoin Trade Platform recommend:
 1. HuoBi (火币,China): https://www.huobi.com/
 2. BtcTrade (China): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JuBi (聚币,China): http://www.jubi.com/
 6. Btc100 (China): https://www.btc100.cn/
 7. BTC-e: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Or you can use others.
If you have any questions, please e-mail lambdasquad.hl@yandex.com.


!!!警告!!!
您的所有文件已经被LambdaLocker加密.
您的ID : 4530-1099-2139-5329
我们使用了AES-256和SHA-256加密,请不要试图破解.
解锁方式:
第一步:在一个月内支付0.5比特币到地址 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 (区分大小写,请完整地复制)
第二步:完成第一步之后,发送邮件到 lambdasquad.hl@yandex.com
格式:
邮件标题:decryptLL
邮件内容:[您的ID]P05 (举例:[1234-1234-1234]P05)
第三步:请等待.我们会把秘钥和解锁程序在3小时内发送给您.
如何得到比特币并支付?
  1.注册一个比特币交易平台.
  2.通过平台购买比特币.
  3.通过平台支付0.5比特币到1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2并继续解锁步骤.
  如果还有疑问请上网搜索:如何购买并支付比特币
比特币交易平台推荐:
1.YunBi(云币,China):https://yunbi.com/
 2.BtcTrade(China):http://www.btctrade.com
 3.OKCoin:https://www.okcoin.cn/
 4.Bter:https://bter.com/
 5.JuBi(聚币,China):http://www.jubi.com/
 6.Btc100(China):https://www.btc100.cn/
 7.BTC-e:https://btc-e.com/
 8.Bitstamp:https://www.bitstamp.net/
 9.GDAX:https://www.gdax.com/
 10.CEX:https://cex.io/
或者您也可以使用其他的.
如果您有任何疑问,请发送邮件至lambdasquad.hl@yandex.com

Перевод записки на русский язык:
!!!ПРЕДУПРЕЖДЕНИЕ!!!
Ваши файлы зашифрованы с помощью LambdaLocker.
Ваш ID: 4530-1xxx-2xxx-5xxx
Мы использовали AES-256 и SHA-256 шифры для шифрования. Потому не пытайтесь взломать ваши файлы.
Путь к дешифровке:
Шаг 1: платить 0,5 Bitcoin на 1MJod *** (чувствительно к регистру, скопируйте этот адрес) в течение 1 месяца.
Шаг2: отправить email на lambdasquad.hl@yandex.com после 1-го шага
Формат:
Тема: decryptLL
Тело: [Ваш ID]P05 (Пример: [1234-1234-1234]P05)
Шаг 3: Подождите. Мы пришлем декриптер и ключ вам за 3 часа.
Как получить биткоины и заплатить?
  1. Зарегистрироваться в Bitcoin Trade Platform.
  2. Купить биткоины через платформу.
  3. Оплатить 0,5 биткоина на 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 и далее шаг дешифрования.
  Если вы не можете понять, пожалуйста гуглите: How can I buy and pay bitcoin?
Bitcoin Trade Platform рекомендует:
 1. HuoBi (火 币, Китай): https://www.huobi.com/
 2. BtcTrade (Китай): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JUBI (聚 币, Китай): http://www.jubi.com/
 6. Btc100 (Китай): https://www.btc100.cn/
 7. BTC-е: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Или вы можете использовать другие.
Если у вас есть любые вопросы, пожалуйста, пишите на email lambdasquad.hl@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Запустившись вредонос завершают работу следующих служб:
MariaDB
MSSQL
MSSQL56
MSSQLServer
OracleServiceORCL

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .backup, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpeg, .jpg, .mdb, .odt, .pdf, .psd, .rar, .rtf, .sqlite, .tiff, .xls, .xlsx, .zip (23 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

При шифровании пропускаются файлы, находящиеся в директориях: 
ProgramFiles
Windows

Файлы, связанные с этим Ransomware:
READ_IT.hTmL
LambdaLocker.exe
baiduyunSimple.exe

Расположения: 
%SystemDrive%\READ_IT.hTmL
%SystemDrive%\lf.lst
%SystemDrive%\!A_NOTICE_FROM_LAST
%SystemDrive%\lalove.inf0
[PATH TO MALWARE]\#Cyb3rGh0st_S0c13tyF@ck3r

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lambdasquad.hl@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Symantec: Ransom.LambdaLocker >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 5 апреля 2017:
Версия: LambdaLocker Python
Сумма выкупа: 1 BTC
Файлы: kukuvruku.exe, reloader.exe
Расширение: .lambda_l0cked
Целевые файлы: .gif, .htm, .html, .pdf, .txt и другие.  
Останавливает процессы: mysql, MySQL56, mssqlserver, OracleServiceORCL, MongoDB, MariaDB, postgresql
Завершает задачи процессов: mysql.exe, IM oracle.exe, sqlserver.exe, IM Apache.exe
Результаты анализов: HA+VT
Новый видеоролик >>

Обновление от 7 апреля 2017:
Результаты анализов: HA+VT

Обновление от 27 июля 2017: 
Пост в Твиттере >>
Записка: !UNLOCK_guiDE.tXT и ярлык UNLOCK_guiDE
Расширение: .MyChemicalRomance4EVER
Файл: VortexVPN.exe
Результаты анализов: VT
Скриншот записки и Список расширений: 



Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать LambdaLocker Fix для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LambdaLocker)
 Tweet on Twitter + Write-up + Video review
 Thanks: 
 Michael Gillespie
 Symantec
 Chris Doman
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *