среда, 15 марта 2017 г.

Turkish FileEncryptor

Turkish FileEncryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в биткоинах, чтобы вернуть файлы. Оригинальное название: FileEncryptor. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на туркоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Beni Oku.txt

Другим информатором жертвы является экран блокировки, имеющий переключаемый текст на 4 языках. 

Содержание записки о выкупе:
DOSYALARINIZ ŞİFRELENDİ
Yerel diskleriniz, ağ konumlarınız, harici depolama birimleriniz 256 bit şifreleme
tekniği ile şifrelenmiştir, bu yöntem ile şifrelenen dosyalar geçerli key "Anahtar"
olmadan açılamazlar Key anahtarına sahip olmak için şifre çözme yazılımını satın
almanız gerekmektedir, yazılım satın alındığında tüm dosyalarınızdaki şifreler
çözülecek ve eski haline gelecektir. Yazılımı 24 saat içerisinde satın almadığınız
taktirde tüm dosyalarınız yerel depolama birimlerinden geri gelmeyecek şekilde
silinecektir. Ayrıntılı bilgi için Belgelerim klasörünüzdeki "Beni Oku.txt"
dosyasına bakabilirsiniz
İletişim Adresi: d3crypt0r@lelantos.org
BTC Adresi : 13HP68KeUVogYJhvlf7XQMEoX8DPR8odx5
Yukarıdaki BTC adresine 150 $ ödeme yapmanız gerekmektedir. Bitcoin
alımlarını www.localbitcoins.com üzerinden yapabilirsiniz
Bilgilendirme : Bilgisayarınızı geri yükleme yapmak hiçbir fayda etmeyecektir
Dosyaları antivirüs ile taratmanız dosyaların bozulmasına yol açacak ve geri
getirilmeyecek şekilde bozulmasına sebep olacaktır

Перевод записки на русский язык:
ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши локальные диски, сетевые папки, ваши внешние накопители зашифрованы с помощью технологии 256-битного шифрования, этот способ шифрования файлов с помощью ключа. Они не могут быть открыты без покупки программы дешифрования и закрытого ключа, после покупки программа дешифрует все ваши файлы, и вы будете работать, как раньше. Если вы не купите  программу в течение 24 часов, то все ваши файлы будут удалены безвозвратно. Смотрите папку "Мои документы" для дополнительной информации в файле "Beni Oku.txt".
Контактный адрес: d3crypt0r@lelantos.org
BTC-адрес: 13hp68keuvogyjhvlf7xqmeox8dpr8odx5
Нужно заплатить в BTC по указанному выше адресу $150 Bitcoin
Вы можете сделать это при покупке Bitcoin на www.localbitcoins.co
Информация: Использование восстановления компьютера не поможет. Антивирусная проверка не поможет вернуть файлы, но может привести к потерям.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .ini, .jpg 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileEncryptor.exe
Mart_ayi_faturasi.exe
Beni Oku.txt
privateKey.xml
publicKey.xml
%name%.manifest.xml - местонахождение ключа

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
d3crypt0r@lelantos.orgСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 21 апреля 2017:
Пост в Твиттере >> 
Файлы:  Islem Dekontunuz.exe , Islem_Dekontunuz-KaMsndjaKqwoeKqjwdgAfGh.exe
Расширение: .encrypted
Записка: Beni Oku.txt
URL: ***.aktifbank.pw/***
Результаты анализов: VT




 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Jakub Kroustek
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *