воскресенье, 5 февраля 2017 г.

PolskiRansom

Polski Ransomware

Gadu-Gadu Ransomware 

AESxWin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует связаться по email и польскому мессенджеру Gadu-Gadu, чтобы заплатить выкуп $249 и вернуть файлы. Название оригинальное. В реестре также используется раздел "AESxWin". 

© Генеалогия: Polski > Vortex > Flotera

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! - - ODZYSKAJ-PLIKI - - !!!.htm  (польск. "Восстановление файлов")
!!! - - ODZYSKAJ-PLIKI - - !!!.txt

Содержание текста с чёрного экрана (перевод автора блога):
@@@@@
POLSKI RANSOMWARE
@@@@@
#####
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików .jpg .pdf .doc .xls i wielu innych jest nie do otwarcia?
DOSTĘP DO TWOICH DANYCH ZABLOKOWANY !!
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z
jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
#####
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
#####
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 
Możesz też napisać na Gadu-Gadu : 61621122 
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$ 
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!
#####

Перевод этого текста на русский язык:
POLSKI RANSOMWARE
Не можешь найти нужные файлы на жёстком диске?
Содержимое твоих файлов .jpg .pdf .doc .xls и многих иных не открывается?
ДОСТУП К ТВОИМ ДАННЫМ БЛОКИРОВАН!!
Это результат программы, которая зашифровала твои данные с помощью сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, фактуры, базы данных были зашифрованы!!
Прочитай больше о вирусах-вымогателях:
trybawaryjny.pl - Что такое Cryptolocker
и т.д.

Содержание текстовой записки о выкупе:
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
---
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
---
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 
Możesz też napisać na Gadu-Gadu : 61621122 
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$ 
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!

Перевод записки на русский язык (перевод автора блога):
Не можешь найти нужные файлы на жёстком диске?
Содержимое файлов не открывается?
Это результат программы, зашифровавшей большинство твоих данных с сильным алгоритмом AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, счета-фактуры, базы данных были зашифрованы!!
Узнай больше о вирусах-вымогателях:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - "Что такое Cryptolocker и как защититься от него?
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - "Вымогатель, что такое и как защититься?"
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - "Вымогатели - платить или не платить?"
Единственный способ восстановить твои файлы - купить у нас вместе с программой дешифрования ключ, генерируемый только для тебя!
---
В то время, как ты читаешь, все это уже закончено и выбранные файлы зашифрованы, а вирус удалён из твоего компьютера.
Ключ состоит из нескольких десятков символов, нужных для расшифровки данных с диска, он находится только у нас!
Ты можешь без конца пытаться ставить антивирусные программы, переставить операционную систему, но ничего не изменится!
Если не будешь следовать нашим инструкциям, то не восстановишь файлы, которые были на жёстком диске.
---
После того, как ты решишь восстановить данные, свяжись с нами по одному из email: rsapl@openmailbox.org или estion@sigaint.org
Ты также можешь написать на Gadu-Gadu : 61621122 
2 файла расшифруем бесплатно, чтобы доказать, что мы можем это сделать!
За остальные, к сожалению, придётся платить!
Цена за расшифровку всех файлов: $249
Внимание! Не трать свое время, время - деньги, через 72 часа цена увеличится на 100%!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .jpg, .pdf, .xls и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
!!! - - ODZYSKAJ-PLIKI - - !!!.htm
!!! - - ODZYSKAJ-PLIKI - - !!!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rsapl@openmailbox.org
estion@sigaint.org
Gadu-Gadu: 61621122
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 6 августа 2017:
Пост в Твиттере >>
Расширение: .ZABLOKOWANE
Записка: ### - ODZYSKAJ SWOJE DANE - ###.TXT
Файл: AESxWin.exe
Email: 3nigma@0.pl
3nigma@firemail.cc
C2: xxxxs://asuspl.ml/widwdp/***
xxxxs://taniepilapl/mij/***
Результаты анализов: HA+VT
<< Скриншот записки



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Polski Ransomware)
 Write-up
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *