Если вы не видите здесь изображений, то используйте VPN.

понедельник, 13 марта 2017 г.

Flotera

Flotera Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название: Flotera Ransomware. Написано тайскими буквами. Разработчик: KOT-GIGANT, он же Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Vortex > Flotera

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на март-апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

Содержание записки о выкупе:
@@@@@@@@@@
############
Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256 używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
############
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas!
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych, Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
############
Gdy już postanowisz odzyskać swoje dane wyślij wiadomość pod obydwa adresy e-mail: flotera@2.pl oraz flotera@protonmail.ch
Możesz też napisać na Gadu-Gadu: 62206321
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 199$
Uwaga ! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100 % !
IP=188.138.33.220 
ID=fa463cae-5733-4174-a152-2199ad6XXXXX
Data=30-03-2017 09:14:00

Перевод записки на русский язык:
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Во то время, пока читаешь всё уже сделано, выбранные файлы были зашифрованы и вирус удалён с твоего компьютера.
Ключ состоит из нескольких десятков символов, необходимых для расшифровки данных с диска, находится в месте доступном только нам. 
Можешь бесконечно пытаться установить антивирусные программы, форматировать операционную систему, но ничего не изменится! 
Если не будешь следовать нашей инструкции, то не восстановишь файлы, которые были на HDD.
Когда решишь восстановить свои данные свяжись с нами по обоим email-адресам:
flotera@2.pl и flotera@protonmail.ch
Можешь написать на Gadu-Gadu: 622063212
Пару файлов расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за дешифрование всех файлов: $199 
Внимание!
Не тратьте время, время деньги, через 4 дня цена возрастет на 100%!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .acc, .amr, .asf, .avi, .bin, .cfg, .cpp, .cs, .css, .der, .doc, .docx, .flv, .gif, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf, .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (48 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, скрипт-файлы, флеш-файлы, архивы и пр.

Файлы, связанные с этим Ransomware:
MenadzerDzwiekuHD2.exe
pfH.bat
updt.exe
listener22.exe
msdl.exe
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

Расположения:
%APPDATA%\Sterowniki\updt.exe
%APPDATA%\Sterowniki\pfH.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe***
***www.sethcardoza.com (104.31.70.8, США)
***api.ipify.org (23.23.128.123, США)
***aktualizacje.win (104.31.73.223, США)
flotera@2.pl
flotera@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >> 
*
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Vortex)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *