воскресенье, 23 апреля 2017 г.

Osiris-Locky 2017

Osiris-Locky 2017 Ransomware

"Revived Osiris-Locky"

(шифровальщик-вымогатель)


Эта статья не закончена / This article not finalized

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Locky > Osiris-Locky > Osiris-Locky 2017

К зашифрованным файлам добавляется расширение .osiris

Locky, дремавший с конца 2016 - начала 2017 года, вернулся с новой силой во второй половине апреля 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: OSIRIS-<4_digits>.htm
например, OSIRIS-5263.htm

Содержание записки о выкупе:
_=*=-=
$*++.*|**=. =.-=+|+
-= =**.*|-*__* -
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-204S and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of tins addresses are not available, follow these steps:
1. Download and install Tor Browser: https: www.torproiect.org download download-easv.html
2. After a successful installation, nui the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion***
4. Follow the instructions on the site.
!!! Your personal identification ID: *** !!
|= $ +$
.= --*==
$ .|.|-* =|.===-+_$

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с шифрами RSA-204S и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которые есть на нашем секретном сервере.
Чтобы получить закрытый ключ, следуйте по одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor Browser: https: www.torproiect.org загрузить download-easv.html
2. После успешной установки откройте обозреватель и дождитесь инициализации.
3. Введите в адресной строке: g46mbrrzpfszonuk.onion***
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный номер: *** !!

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, в том числе с помощью эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примеры названий вредоносных вложений в email: Receipt 435, Payment Receipt 2724, Payment-2677, Payment Receipt_739, Payment#229.
Используемые типы файлов: PDF, DOC/DOCM, XLS/XLSM (документы DOC и XLS с макросами): <random>.pdf, <random>.docm, <random>.xlsm
Предложения вредоносного характера: включить макросы в документе. После включения загружается бинарник шифровальщика. 

Email, указанные в письме: donotreply@stmargaretsbrookfield.org.uk и другие. 
Все указанные в письмах отправители, компании, правительственные ведомства и другие организации, имена сотрудников, номера телефонов, ссылки и т.д. выбраны случайным образом. Некоторые из этих компаний реально существуют, а другие вымышлены. Не пытайтесь ответить по телефону или написать на email отправителя, т.к. всё сделано для того, чтобы побудить вас вслепую открыть вложение или, нажав на ссылку в письме, перейти на некий сайт, что узнать подробности.  

После шифрования файлов удаляются тома теневых копий файлов командой:
C:\Windows\system32\vssadmin.exe 
Delete Shadows /Quiet /All

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
redchip2.exe - бинарник шифровальщика

Расположения:
%Temp%\redchip2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL загрузки redchip2.exe: xxxx://uwdesign.com.br/9yg65 и другие.
URL C&C: 188.120.239.230/checkupdate и 80.85.158.212/checkupdate
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 *
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *