понедельник, 10 апреля 2017 г.

AutoEncryptor

AutoEncryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 10000 BTC, чтобы вернуть файлы. Оригинальное название, указанное на файле: AutoEncryptor. По сути является новой версией UserFilesLocker (CzechoSlovak).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: UserFilesLocker (CzechoSlovak)AutoEncryptor

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком FileLocker: 

Скриншот начального экрана и гифка всех четырёх

Содержание текста о выкупе:
Your personal data has been encrypted.
Info | Step 1 - payment | Step 2 - inform us | Step 3 - restore your data
Your personal data has been encrypted!
Encryption has been made using unique AES-256 key generated on this computer.
After data encryption was completed, key itself was encrypted using public RSA-2048 key and it’s currently stored on your Desktop and Documents folders.
Only decrypted AES key can be used to decrypt yor files and key decryption can be done only by us.
To decrypt your data you must pay amount of Bitcoins (BTC) shown bellow.
Follow 3 steps manual on how to buy Bitcoins and retrieve decrypted key to restore your files.
---
Visit http://www.simplecoin.cz and buy exact amount of BTC shown bellow.
Inside "Your wallet adress" field put our BTC wallet address:
moje adresa BTC
Amount to pay: 10000 BTC
---
Send an email with following content:
1. Encrypted key shown in pink field bellow.
2. Amount of BTC you payed.
babis@mfcr.cz
Encrypted key:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3/5SskRZHLfNq/jJSb780LFG38gC)ZGXZGKie:
3. Wait until we send you decrypted password to mail you provided.
After that, please continue on page "Step 3"
---
Enter the decrypted key you received in the green box bellow and click "Decrypt".
Your files will be decrypted in several minutes.
Decrypted key:
***
[Decrypt]

Перевод записки на русский язык:
Ваши личные данные были зашифрованы.
Инфо | Шаг 1 - оплата | Шаг 2 - сообщить нам | Шаг 3. восстановить данные
Ваши личные данные зашифрованы!
Шифрование выполнено с помощью уникального ключа AES-256, созданного на этом компьютере.
После завершения шифрования сам ключ зашифрован с помощью открытого ключа RSA-2048, и он сейчас хранится в ваших папках «Рабочий стол» и «Документы».
Только дешифрованный ключ AES может использоваться для дешифровки ваших файлов и ключ дешифрования можем сделать только мы.
Для дешифровки ваших данных вы должны заплатить сумму в биткойнах (BTC), указанную ниже.
Следуйте 3 шагам инструкции чтобы купить биткойны и получить дешифрованный ключ для возврата ваших файлов.
---
Посетите сайт http://www.simplecoin.cz и купите точное количество показанного ниже BTC.
В поле «Your wallet adress» укажите адрес кошелька BTC:
Moje adresa BTC
Сумма к оплате: 10000 BTC
---
Отправьте сообщение со следующим содержанием:
1. Зашифрованный ключ показан в розовом поле ниже.
2. Количество BTC, которое вы заплатили.
Babis@mfcr.cz
Зашифрованный ключ:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3 / 5SskRZHLfNq / jJSb780LFG38gC) ZGXZGKie:
3. Подождите, пока мы не отправим вам расшифрованный пароль для получения почты.
После этого перейдите на страницу «Шаг 3»,
---
Введите расшифрованный ключ, который вы получили в зеленом поле ниже, и нажмите "Decrypt".
Ваши файлы будут расшифрованы за несколько минут.
Расшифрованный ключ:
***
[Decrypt]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .ini, .jpg, .mp3, .pdf, .png, .txt и многие другие. 
Это документы MS Office, текстовые файлы, фотографии, музыка и пр.

Список пропускаемых файловых расширений

.asf, .div, .flv, .mng, .mov, .mpeg, .mpg, .ogg, .ogv, .qt, .rm, .rmvb, .webm, .wmw, .xvid, .yuv (видео-файлы). 

Файлы, связанные с этим Ransomware:
AutoEncryptor.exe
UserFilesLocker.exe
wisptis.exe
_encrypt.pinfo

Расположения:
%/user_folders/%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babis@mfcr.cz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton