вторник, 2 мая 2017 г.

Lockify

Lockify Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.0002-0.004 BTC, чтобы вернуть файлы. Оригинальное название: Lockify. Оно заимствовано вымогателями у известного приложения Lockify для обмена приватными сообщениями. Другое название, указанное на файле: ConsoleApplication1. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Lockify

К зашифрованным файлам добавляется расширение .Lockify

Активность этого крипто-вымогателя пришлась на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.hta

Содержание записки о выкупе:
LOCKIFY RANSOMWARE
Instructions
Can't you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by "Lockify Ransomware".
It means your files are NOT damaged! Your files are modified only. This modification is reversible.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is to buy the special decryption software "Lockify Decryptor".
Any attempts to restore your files with the third-party software will be fatal for your files!
-
You can proceed with purchasing of the decryption software at your personal page:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top/
If this page cannot be opened click here to get a new address of your personal page.
If the address of your personal page is the same as before after you tried to get a new one, you can try to get a new address in one hour.
At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.
Also at this page you will be able to restore any one file for free to be sure "Lockify Decryptor" will help you.
———
If your personal page is not available for a long period there is another way to open your personal page – installation and use of Tor Browser:
- run your Internet browser (if you do not know what it is run the Internet Explorer);
- enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
- wait for the site loading;
- on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
- run Tor Browser;
- connect with the button "Connect" (if you use the English version);
- a normal Internet browser window will be opened after the initialization;
- type or copy the address in this browser address bar;
- press ENTER;
- the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.
———
Additional information:
You will find the instructions ("*HELP_DECRYPT*.hta") for restoring your files in any folder with your encrypted files.
The instructions "*HELP_DECRYPT*.hta" in the folders with your encrypted files are not viruses! The instructions "*HELP_DECRYPT*.hta" will help you to decrypt your files.
Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Перевод записки на русский язык:
LOCKIFY RANSOMWARE
Инструкции
Не можете найти нужные файлы?
Содержание ваших файлов нечитаемо?
Это нормально, потому что имена файлов и данные в ваших файлах были зашифрованы "Lockify Ransomware".
Это значит, что ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
С этого момента вы не сможете использовать ваши файлы, пока они не будут расшифрованы.
Единственный способ безопасно расшифровать ваши файлы - это купить специальную программу для дешифрования "Lockify Decryptor".
Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальны для ваших файлов!
-
Вы можете приступить к приобретению программы для дешифрования на своей личной странице:
хххх: //i6r2ug4pil44jdnr.1J1dgw.top/
Если эта страница не открывается, нажмите здесь, чтобы получить новый адрес вашей личной страницы.
Если адрес вашей личной страницы такой же, как прежде, после того, как вы попытались получить новый, вы можете попытаться получить новый адрес через час.
На этой странице вы получите полную информацию о том, как купить программу дешифрования для восстановления всех ваших файлов.
Также на этой странице вы сможете восстановить любой файл бесплатно, чтобы убедиться, что "Lockify Decryptor" поможет вам.
---
Если ваша личная страница недоступна долгое время, существует еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
- запустите свой интернет-браузер (если вы не знаете какой, то запустите Internet Explorer);
- введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
- дождитесь загрузки сайта;
- на сайте вам будет предложено скачать Tor-браузер; загрузите и запустите его, следовать инструкциям по установке, дождитесь завершения установки;
- запустите Tor-браузер;
- подключитесь с помощью кнопки "Connect" (если вы используете английскую версию);
- после инициализации откроется обычное окно интернет-браузера;
- введите или скопируйте адрес в адресную строку браузера;
- нажмите ENTER;
- сайт должен загрузиться; если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor-браузера, то посетите https://www.youtube.com и введите запрос в строке поиска «Install Tor Browser Windows», и вы найдете много обучающих видео о Tor-браузере, установке и использованию.
---
Дополнительная информация:
Вы найдете инструкции ("*HELP_DECRYPT*.hta") для восстановления ваших файлов в любой папке с зашифрованными файлами.
Инструкции "*HELP_DECRYPT*.hta" в папках с зашифрованными файлами не являются вирусами! Инструкции "*HELP_DECRYPT *.hta" помогут вам расшифровать ваши файлы.
Запомните! Самая худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👐 Анализ текста и перевода показал, что эта инструкция сначала была составлена на русском языке, но есть некоторые несоответствия в орфографии, которые могут указывать на другой регион, где русский язык тоже используется, например в Украине. Также инструкция могла быть взята из другого вымогателя или написана по заказу другими лицами. 

Список файловых расширений, подвергающихся шифрованию:
.3GP, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m4v, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .MP3, .MP4, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (141 расширение). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
$Recycle.Bin
\AppData\Local\
\AppData\Roaming\
\AppData\Locallow\
\Windows\
\Users\All Users\ 
\Program\
\Python27\

Файлы, связанные с этим Ransomware:
ConsoleApplication1.exe - исполняемый файл шифровальщика;
Readme.HTA - записка о выкупе;
*HELP_DECRYPT*.HTA - инструкция по дешифровке.

Расположения:
\Desktop\Readme.HTA
\User_folders\*HELP_DECRYPT*.HTA

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Вымогатели используют технологию DGA (Domain Generation Algorithm, алгоритм генерации доменных имен). Об этом методе методе можно прочитать по ссылке


Сетевые подключения и связи:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top - один из сгенерированных доменов
xxxx://freegeoip.net/json/ - определяет IP, страну, регион, город, временную зону
***9svdsio0.cdn.o66o.pw/***
***ggzmc76dwcvykik4.1j1dgw.pw - Швейцария
***ggzmc76dwcvykik4.1j1dgw.top - Украина
***ggzmc76dwcvykik4.1j1dgw.net
***ggzmc76dwcvykik4.1j1dgw.xyz
***ggzmc76dwcvykik4.1j1dgw.com
***ggzmc76dwcvykik4.1j1dgw
***btc.blockr.io - США
***findingresult.com - Виргинские острова
***btc.blockr.io/address/info/1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
и другие связанные ресурсы
BTC: 1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *