понедельник, 10 апреля 2017 г.

AutoEncryptor

AutoEncryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 10000 BTC, чтобы вернуть файлы. Оригинальное название, указанное на файле: AutoEncryptor. По сути является новой версией UserFilesLocker (CzechoSlovak).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: UserFilesLocker (CzechoSlovak)AutoEncryptor

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком FileLocker: 

Скриншот начального экрана и гифка всех четырёх

Содержание текста о выкупе:
Your personal data has been encrypted.
Info | Step 1 - payment | Step 2 - inform us | Step 3 - restore your data
Your personal data has been encrypted!
Encryption has been made using unique AES-256 key generated on this computer.
After data encryption was completed, key itself was encrypted using public RSA-2048 key and it’s currently stored on your Desktop and Documents folders.
Only decrypted AES key can be used to decrypt yor files and key decryption can be done only by us.
To decrypt your data you must pay amount of Bitcoins (BTC) shown bellow.
Follow 3 steps manual on how to buy Bitcoins and retrieve decrypted key to restore your files.
---
Visit http://www.simplecoin.cz and buy exact amount of BTC shown bellow.
Inside "Your wallet adress" field put our BTC wallet address:
moje adresa BTC
Amount to pay: 10000 BTC
---
Send an email with following content:
1. Encrypted key shown in pink field bellow.
2. Amount of BTC you payed.
babis@mfcr.cz
Encrypted key:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3/5SskRZHLfNq/jJSb780LFG38gC)ZGXZGKie:
3. Wait until we send you decrypted password to mail you provided.
After that, please continue on page "Step 3"
---
Enter the decrypted key you received in the green box bellow and click "Decrypt".
Your files will be decrypted in several minutes.
Decrypted key:
***
[Decrypt]

Перевод записки на русский язык:
Ваши личные данные были зашифрованы.
Инфо | Шаг 1 - оплата | Шаг 2 - сообщить нам | Шаг 3. восстановить данные
Ваши личные данные зашифрованы!
Шифрование выполнено с помощью уникального ключа AES-256, созданного на этом компьютере.
После завершения шифрования сам ключ зашифрован с помощью открытого ключа RSA-2048, и он сейчас хранится в ваших папках «Рабочий стол» и «Документы».
Только дешифрованный ключ AES может использоваться для дешифровки ваших файлов и ключ дешифрования можем сделать только мы.
Для дешифровки ваших данных вы должны заплатить сумму в биткойнах (BTC), указанную ниже.
Следуйте 3 шагам инструкции чтобы купить биткойны и получить дешифрованный ключ для возврата ваших файлов.
---
Посетите сайт http://www.simplecoin.cz и купите точное количество показанного ниже BTC.
В поле «Your wallet adress» укажите адрес кошелька BTC:
Moje adresa BTC
Сумма к оплате: 10000 BTC
---
Отправьте сообщение со следующим содержанием:
1. Зашифрованный ключ показан в розовом поле ниже.
2. Количество BTC, которое вы заплатили.
Babis@mfcr.cz
Зашифрованный ключ:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3 / 5SskRZHLfNq / jJSb780LFG38gC) ZGXZGKie:
3. Подождите, пока мы не отправим вам расшифрованный пароль для получения почты.
После этого перейдите на страницу «Шаг 3»,
---
Введите расшифрованный ключ, который вы получили в зеленом поле ниже, и нажмите "Decrypt".
Ваши файлы будут расшифрованы за несколько минут.
Расшифрованный ключ:
***
[Decrypt]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .ini, .jpg, .mp3, .pdf, .png, .txt и многие другие. 
Это документы MS Office, текстовые файлы, фотографии, музыка и пр.

Список пропускаемых файловых расширений

.asf, .div, .flv, .mng, .mov, .mpeg, .mpg, .ogg, .ogv, .qt, .rm, .rmvb, .webm, .wmw, .xvid, .yuv (видео-файлы). 

Файлы, связанные с этим Ransomware:
AutoEncryptor.exe
UserFilesLocker.exe
wisptis.exe
_encrypt.pinfo

Расположения:
%/user_folders/%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babis@mfcr.cz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *