понедельник, 3 апреля 2017 г.

Fluffy-TAR

Fluffy-TAR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,039 BTC, чтобы вернуть файлы. Оригинальное название Fluffy или Fluffy-TAR. Среда разработки: Visual Studio 2015. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Картинка принадлежит шифровальщику (найдено в exe-файле)

К зашифрованным файлам добавляется окончание lock75

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступают экраны блокировки:

Содержание основного текста о выкупе:
What's happening?
Oh no! Fuffy-TAR has encrypted some of your files! It means they are not lost, but cannot be used until decrypted.
They are "locked", you could say. If you see a file which name ends with "lock75", it means this file is encrypted. The process iseasily reversible but requires a key.
What do I do?
To get your files back, you must buy the decryption key. This payment must be done in Bitcoins, a cryptographic currency. Bitcoin is becoming more and more acessible and nowadays, it is really easy to use bitcoins. See the online interface (button below) for a more detailed introduction to bitcoins. 
To get your files back, please send exactly (or more if you want) 0.039 Bitcoins to this address, BEFORE the countdown below ends:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Uppercase/lowercase matter! Make sure you send to the right address! (you can scan the QR code to copy it)
After sending the payment, wait an hour then click the "Retrieve key automatically" button below.
The software will then receive the key and decrypt ALL encrypted files.
Without the key, it is impossible to decrypt your files. Without the proper payment, it is impossible to get the key.
When the countdown reaches zero, you will lose all encrypted documents.
Please note: If you have an antivirus, disable it now if you don't want to lose your data.
[Decrypt one file for free] [Francais]
[Detailed info and manual key retrieving] [Retrieve key automatically]

Перевод основного текста на русский язык:
Что произошло?
О нет! Fuffy-TAR зашифровал некоторые ваши файлы! Это значит, что они не потеряны, но не могут использоваться, пока не расшифрованы.
Можно сказать, что они "заперты". Если вы видите файл, имя которого заканчивается на «lock75», это означит, что он зашифрован. Этот процесс легко обратим, но требует ключ.
Что мне делать?
Чтобы вернуть свои файлы, вы должны купить ключ дешифрования. Этот платеж нужно сделать в биткойнах - криптовалюте. Биткойн становится все более доступным, и в наши дни очень легко использовать биткойны. См. Онлайн-интерфейс (кнопка ниже) для подробного введения в биткойны.
Чтобы вернуть ваши файлы, отправьте ровно (или больше, если хотите) 0.039 биткойнов по этому адресу, ПРЕЖДЕ, чем закончится обратный отсчет:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Прописные/строчные буквы! Убедитесь, что вы отправили на правильный адрес! (Вы можете сканировать QR-код)
После отправки платежа подождите один час и нажмите кнопку "Retrieve key automatically" ниже.
Затем программа получит ключ и расшифрует ВСЕ зашифрованные файлы.
Без ключа невозможно расшифровать ваши файлы. Без надлежащей оплаты невозможно получить ключ.
Когда обратный отсчет достигнет нуля, вы потеряете все зашифрованные документы.
Обратите внимание: если у вас есть антивирус, отключите его сейчас, если не хотите потерять свои данные.
[Расшифровать один файл бесплатно] [По-французски]
[Подробная информация и извлечение ключей] [Получить ключ автоматически]

 Страницы tor-сайта вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .abu, .accdb, .ai, .arp, .arw, .asp, .aspx, .ass, .asset, .ava, .avi,.bas, .bay, .bdcr, .bdcu, .bdd, .bdp, .bds, .bikey, .blend, .bmp, .bpdr, .bpdu, .bsdr, .bsdu, .c, .cc,.cd, .cdr, .cer, .class, .com, .config, .cpp, .cr2, .crt, .crw, .cs, .csv, .cxx, .db, .dbf, .dbx,.dcr, .dd, .dds, .der, .dng, .doc, .docm, .docx, .DTD, .dwg, .dxf, .dxg, .eps, .erf, .fdb, .forge, .gdb,.gif, .groups, .gsd, .gsf, .h, .hpp, .htm, .html, .ims, .indd, .iss, .jar, .java, .jpe, .jpeg, .jpg,.js, .jsp, .kdc, .key, .kwm, .lua, .m, .md, .mdb, .mdf, .mef, .mp3, .mpg, .mrw, .msg, .nef,.nrw, .oab, .obj, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .PAS, .pas, .pdb,.pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .ppk, .ppt, .pptm, .pptx, .ps, .psd, .pst, .psw,  .ptx, .pwm, .py, .r3d, .raf, .rar, .RAW, .raw, .rgx, .rik, .rm, .rtf, .rw2, .rwl, .safe, .sav, .sln,.sql, .srf, .srw, .swf, .swift, .tex, .txt, .vcf, .vsd, .wb2, .wpd, .wps, .xcf, .xlk, .xls, .xlsb,.xlsm, .xlsx, .xml, .zip (163 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Fluffy.exe
fluffy.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://3qsp4lc4ajyk4ccb.onion
xxxx://3qsp4lc4ajyk4ccb.onion.cab/
xxxx://3qsp4lc4ajyk4ccb.onion.to/
xxxx://3qsp4lc4ajyk4ccb.onion.to/c.php
xxxx://3qsp4lc4ajyk4ccb.onion.to/w.php
xxxxs://3qsp4lc4ajyk4ccb.onion.casa/
xxxxs://paxful.com/
xxxxs://www.bitpanda.com
xxxxs://www.coinmama.com/
185.100.85.150:80 (Румыния)
192.36.27.5:80 (Швеция)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 GrujaRS
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *