вторник, 28 февраля 2017 г.

UserFilesLocker

UserFilesLocker Ransomware

CzechoSlovak Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,8 - 2,1 биткоинов, чтобы вернуть файлы. Оригинальное название: UserFilesLocker или FilesLocker. На файле написано: Installer. Такой разброс в названиях говорит о неопытности вымогателей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на чешских и словацких пользователей.

Запиской с требованием выкупа выступает экран блокировки с заголовком FilesLocker.

Содержание первой вкладки:
VŠECHNA VAŠE OSOBNI DATA BYLA NANESTESTI PRO VAS KOMPLETNE ZASIFROVANA
Informace
Krok 1 - PLATBA
Krok 2 - Informujte nas
Step 3 - Obnova dat
Vaše data a soubory jsou nyni bohužel zašifrovaný našim klicem. K šifrováni byl použit unikatni AES-256 key generovaný na tomto pocitaci. V tento okamžik jsou jiz všechny soubory zašifrované a klic bezpecne uloženy v zasifrovane v podobě klice RSA-2048.
Jediný a pouze mozny způsob navraceni Vašich souboru je provést platbu Bitcoinem a vyzadat od nas klice k odsifrovani. Neverte zadnym pohádkám na internetu, ze toto je mozne obejit, jednoduše neni kdyby bylo mnoho veci na tomto svete přestane fungovat.
Zaplatte dle instrukci v následujících krocích podle listy nahoře a vyčkejte na Vaše klice. I nam jde o profesionální klientsky servis a reputaci na trhu, proto se budeme snažit odemknout Vaše soubory co nejdříve.
Castka k uhrade: 0.8 BTC
Castka k uhrade: 2.1 BTC (another variant)

Перевод текста с первой вкладки на русский язык:
Все ваши личные данные, к сожалению для вас, были зашифрованы
Информация
Шаг 1 - ОПЛАТА
Шаг 2 - Расскажите нам
Шаг 3 - Восстановление данных
Ваши данные и файлы были зашифрованы, к сожалению, нашим ключом. Для шифрования использован уникальный ключ AES-256, созданный на этом компьютере. На данный момент все файлы уже зашифрованы и ключи надежно сохранены в зашифрованном виде с RSA-2048.
Только одним способом можно вернуть ваши файлы - произвести оплату в биткоинах и получить у нас ключ для расшифровки. Не верьте никаким сказкам в Интернете, что это можно обойти, если бы это было просто, то много вещей в мире перестало работать.
Заплатите по инструкции, переходя по вкладкам, и ждите ваших ключей. Мы дорожим профессиональным обслуживанием клиентов и репутацией на рынке, поэтому постараемся разблокировать ваши файлы как можно скорее.
Сумма платежа: 0,8 BTC
Сумма платежа: 2.1 BTC (другой вариант)

Все вкладки экрана блокировки

Распространяется путём размещения вредоноса на скомпрометированных сайтах (один сайт чешский, другой словацкий). На скриншоте указаны стрелками. 
Может также начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asf, .avi, .cer, .div, .dll, .exe, .flv, .inf, .ini, .jpg, .mkv, .mng, .mov, .mp3, .mp4, .mpeg, .mpg, .ogg, .ogv, .pkg, .qt, .rm, .rmvb, .run, .sh, .txt, .webm, .wmw, .xvid, .yuv (19 расширений). 
Это текстовые файлы, сертификаты, DLL, EXE, фотографии, музыка, видео и прочие файлы. 

Список директорий, в которых файлы подвергаются шифрованию:
Contacts
Desktop
Documents
Downloads
Favorites
Links
Music
Pictures
SavedGames
SavedSearches
Videos

Файлы, связанные с этим Ransomware:
UserFilesLocker.exe
elektronicka-komunikacia-instalacia.exe
prehled_hotely.exe
Installer.exe
IUDL.exe
encrypt.pinfo - файл с паролем шифрования
Decryptor.exe

Расположения:
%USERPROFILE%\Documents\UserFilesLocker.exe
%USERPROFILE%\Desktop\__encrypt.pinfo
%USERPROFILE%\Documents\__encrypt.pinfo

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***uradvlady.eu
***financnasprava.digital
***www.easycoin.cz
***www.localbitcoins.com
***www.simplecoin.cz
vlastnou.hlavou@mailfence.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UserFilesLocker)
 Video review (add. March 1, 2017)
 
 Thanks: 
 Jiri Kropac
 Alex Svirid 
 Michael Gillespie
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *