четверг, 9 марта 2017 г.

Vortex

Vortex Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название, указано в записке. Другое, указанное в проекте и на файле: AESxWin. Разработчик скрылся под ником: KOT-GIGANT. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.


К зашифрованным файлам добавляется расширение .aes


Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.


Записки с требованием выкупа называются: ODZSZYFRUJ-DANE.txt


Содержание записки о выкупе:

Vortex Ransomware
Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu aes-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub poiskiransom@airmail.cc
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić!
Cena za odszyfrowanie wszystkich plików: 199$
Uwaga! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100%!
IP= ID=

Перевод записки на русский язык:
Vortex Ransomware
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Когда решишь восстановить свои данные, пожалуйста, свяжись с нами по email-адресам: rsapl@openmailbox.org или poiskiransom@airmail.cc 
2 файла расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за расшифровку всех файлов: $199
Внимание! Не трать свое время, время — деньги, через 4 дня цена возрастет на 100%!
IP= ID=

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Список файловых расширений, подвергающихся шифрованию:

.3g2, .3gp, .7z, .acc, .amr,  .asf, .avi, .cpp, .cs, .css, .doc, .docx, .flv, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf,  .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (44 расширения). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:

ODZSZYFRUJ-DANE.txt
AESxWin.exe
polish.exe

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

xxxx://eslamx.com
xxxx://ethcardoza.com
xxxx://www.sethcardoza.com/
xxxx://api.ipify.org
xxxx://wielkijopl.temp.swtest.ru/
rsapl@openmailbox.org
poiskiransom@airmail.cc
См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Обновление от 13 марта 2017:
Пост в Твиттере >>
Новое название: Flotera, написано как Ŧl๏tєгค гคภร๏๓ฬคгє
<< Название в виде картинки
Файл: MenadzerDzwiekuHD2.exe
Записка: !!!-ODZYSKAJ-DANE-!!!.TXT
Раcширение: .aes
Адрес: xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe
Разработчик прежний: KOT-GIGANT

Степень распространённости: низкая.

Подробные сведения собираются регулярно.


Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vortex)
 Write-up, Topic
 *
 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *