четверг, 23 февраля 2017 г.

Pickles

Pickles Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название, указано в коде. Написан на Python. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает.  
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.

Имена зашифрованных файлов переименовываются случайными знаками, а уже к ним добавляется расширение .EnCrYpTeD
Шаблон можно записать как [random_chars].EnCrYpTeD или [a-z0-9].EnCrYpTeD
Примеры зашифрованных файлов

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Записки с требованием выкупа называются: READ_ME_TO_DECRYPT.txt
Содержание записки о выкупе:
Your files have been locked with AES strong encryption.
How to decrypt your files:
1. Send one bitcoin to: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. After sending bitcoin, send email to random_anonymous@gmail.com containing the following code:
3614e3***
3. After receiving bitcoin and required code, you will be given your decrypt password
4. Find to_decrypt.py, double-click, enter the password. Decryption requires Python installed
You have 72 hours to comply, or your decrypt password will be permanently destroyed!
How to buy bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
GOOD LUCK!!

Перевод записки на русский язык:
Ваши файлы были заблокированы с AES шифрованием.
Чтобы дешифровать файлы:
1. Отправьте 1 Bitcoin на: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. После отправки Bitcoin, отправьте сообщение на email random_anonymous@gmail.com со следующим кодом:
3614e3***
3. После получения Bitcoin и этого кода, вы получите ваш пароль дешифровки 
4. Найти to_decrypt.py, дважды щелкните, введите пароль. Дешифровка требует установки Python
У вас есть 72 часа для выполнения, или ваш пароль дешифровки будет уничтожен!
Чтобы купить Bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
УДАЧИ!!
Для дополнительного информирования жертвы используется скринлок, встающий обоями рабочего стола с коротким текстом: 
"Внимание! Ваши файлы зашифрованы!!! Следуйте инструкциям в READ_ME_TO_DECRYPT.txt для возврата ваших файлов". 

После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_TO_DECRYPT.txt - записка о выкупе;
ransomware.exe - исполняемый файл вымогателя;
image.png - скринлок для обоев рабочего стола;
to_decrypt.py - файл для дешифровки файлов. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 Thanks: 
 JakubKroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *