Unlock26

Unlock26 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на сайт оплаты, чтобы выполнить условия и вернуть файлы. Оригинальное название, указано также в начальной части адресов сайтов оплаты выкупа.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DotRansomware >> Unlock26

К зашифрованным файлам добавляется расширение .locked-[3_random_chars], например, .locked-Q1u
Три случайных буквенно-цифровых символа на конце зашифрованных файлов уникальны для каждого ПК и ещё используются в записке о выкупе. 

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, ещё в разработке. 

Записки с требованием выкупа называются: ReadMe-Q1u.html
Шаблон: ReadMe-[3_random_chars].html или ReadMe-[A-Za-z0-9]{3}.html

При каждом запуске exe-шника генерируются новые ключ и вектор. Они шифруются публичным RSA-ключом и записываются в ReadMe-[3_random_chars].html 

Записка о выкупе

Содержание записки о выкупе:
Your data was locked!
To unlock your data follow the instructions below
Go to one of this sites
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net

Перевод записки на русский язык:
Твои данные блокированы!
Для разблока данных следуй инструкциям ниже
Иди на один из этих сайтов
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net

 

 

Скриншоты с сайта вымогателей

Сайт показывает всё время одну цену в математическом представлении - 6.e-002 BTC (это 0,06 BTC). Но нам удалось найти еще и 1.e-002 BTC (это 0,01 BTC). 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe-Q1u.html
b1Z7gfdX0.exe
firefox.exe 

Расположения:

%TEMP%\ReadMe-Q1u.html

%TEMP%\b1Z7gfdX0.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unlock26ozqwoyfv.onion
unlock26ozqwoyfv.hiddenservice.net
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.casa
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ на Builder RaaS >>
VirusTotal анализ на Builder RaaS >>

Обновление от 24 февраля 2017:
Криптостроитель Builder RaaS Unlock26
Файл: DotRansomwareBuilder.exe
Результаты анализов: см. выше. 
<< Скриншот





Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Unlock26)
 Write-up (add. February 25, 2017)
 Video review (add. February 27, 2017)

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Mihay Ice
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.