Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 5 февраля 2017 г.

PolskiRansom

Polski Ransomware

Gadu-Gadu Ransomware 

AESxWin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует связаться по email и польскому мессенджеру Gadu-Gadu, чтобы заплатить выкуп $249 и вернуть файлы. Название оригинальное. В реестре также используется раздел "AESxWin". Разработчик: Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018 года). 

© Генеалогия: Polski > Vortex > Flotera

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! - - ODZYSKAJ-PLIKI - - !!!.htm  (польск. "Восстановление файлов")
!!! - - ODZYSKAJ-PLIKI - - !!!.txt

Содержание текста с чёрного экрана (перевод автора блога):
@@@@@
POLSKI RANSOMWARE
@@@@@
#####
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików .jpg .pdf .doc .xls i wielu innych jest nie do otwarcia?
DOSTĘP DO TWOICH DANYCH ZABLOKOWANY !!
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z
jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
#####
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
#####
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 
Możesz też napisać na Gadu-Gadu : 61621122 
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$ 
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!
#####

Перевод этого текста на русский язык:
POLSKI RANSOMWARE
Не можешь найти нужные файлы на жёстком диске?
Содержимое твоих файлов .jpg .pdf .doc .xls и многих иных не открывается?
ДОСТУП К ТВОИМ ДАННЫМ БЛОКИРОВАН!!
Это результат программы, которая зашифровала твои данные с помощью сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, фактуры, базы данных были зашифрованы!!
Прочитай больше о вирусах-вымогателях:
trybawaryjny.pl - Что такое Cryptolocker
и т.д.

Содержание текстовой записки о выкупе:
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
---
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
---
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org 
Możesz też napisać na Gadu-Gadu : 61621122 
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$ 
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!

Перевод записки на русский язык (перевод автора блога):
Не можешь найти нужные файлы на жёстком диске?
Содержимое файлов не открывается?
Это результат программы, зашифровавшей большинство твоих данных с сильным алгоритмом AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, счета-фактуры, базы данных были зашифрованы!!
Узнай больше о вирусах-вымогателях:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - "Что такое Cryptolocker и как защититься от него?
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - "Вымогатель, что такое и как защититься?"
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - "Вымогатели - платить или не платить?"
Единственный способ восстановить твои файлы - купить у нас вместе с программой дешифрования ключ, генерируемый только для тебя!
---
В то время, как ты читаешь, все это уже закончено и выбранные файлы зашифрованы, а вирус удалён из твоего компьютера.
Ключ состоит из нескольких десятков символов, нужных для расшифровки данных с диска, он находится только у нас!
Ты можешь без конца пытаться ставить антивирусные программы, переставить операционную систему, но ничего не изменится!
Если не будешь следовать нашим инструкциям, то не восстановишь файлы, которые были на жёстком диске.
---
После того, как ты решишь восстановить данные, свяжись с нами по одному из email: rsapl@openmailbox.org или estion@sigaint.org
Ты также можешь написать на Gadu-Gadu : 61621122 
2 файла расшифруем бесплатно, чтобы доказать, что мы можем это сделать!
За остальные, к сожалению, придётся платить!
Цена за расшифровку всех файлов: $249
Внимание! Не трать свое время, время - деньги, через 72 часа цена увеличится на 100%!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .jpg, .pdf, .xls и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
!!! - - ODZYSKAJ-PLIKI - - !!!.htm
!!! - - ODZYSKAJ-PLIKI - - !!!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rsapl@openmailbox.org
estion@sigaint.org
Gadu-Gadu: 61621122
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 6 августа 2017:
Пост в Твиттере >>
Расширение: .ZABLOKOWANE
Записка: ### - ODZYSKAJ SWOJE DANE - ###.TXT
Файл: AESxWin.exe
Email: 3nigma@0.pl
3nigma@firemail.cc
C2: xxxxs://asuspl.ml/widwdp/***
xxxxs://taniepilapl/mij/***
Результаты анализов: HA+VT
<< Скриншот записки

После ареста в Польше разработчика шифровальщика
можно ожидать выпуск бесплатного дешифровщика
Используйте ссылку от Cert.pl для получения ключа 
Перейти по ссылке >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Polski Ransomware)
 Write-up
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *