среда, 7 июня 2017 г.

BeethoveN

BeethoveN Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BeethoveN. На файле написано: BeethoveN.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: BeethoveN. Начало

К зашифрованным файлам добавляется расширение .BeethoveN

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста из первого окна:
YOUR FILES HAVE BEEN ENCRYPTED
All your personal files have been encrypted. You can find a list of them in FILEUST.txt on your desktop ♪
They have been encrypted with military grade AES-256 bit encryption, combined with RSA-2048 bit encryption. This encryption is impossible to break without the private key ♪
The unique private key for your files is stored on our servers, however it will be deleted exactly 168 hours after the encryption process finished ♪
Unless you have recent backups, there is no way to recover those files which have been lost without the private key ♪
To get the private key (and recover your files), you must pay a ransom, which you can do from our website ♪
After you make the online payment, click Decrypt Files and we will verify with the server that the payment was successful. The private key will then be downloaded from the server and be used to automatically decrypt all your files ♪
Please visit xxxx://127.0.0.1:8030 in your web browser and login with the ID below to decrypt your files ♪
ANY ATTEMPTS TO REMOVE THIS PROGRAM MAY RESULT IN YOUR PRIVATE KEY BEING PERMANENTLY INACCESSIBLE, MEANING YOU CAN NEVER RECOVER YOUR FILES ♪
It is recommended that you do not shutdown your computer until you have successfully paid for and decrypted your files. In the event that this program is closed, you can find a copy on your desktop named BeethoveN.exe which you can use to decrypt your files
[xxxxs://soltec6d5qinsppi.hiddenservice.net/]
REFERENCE ID: 123
button [Decrypt Files]

Перевод текста на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все ваши личные файлы были зашифрованы. Вы можете найти их список в файле FILEUST.txt на своем рабочем столе ♪
Они были зашифрованы с шифрование AES-256 военного класса, в сочетании с шифрованием RSA-2048. Это шифрование невозможно взломать без закрытого ключа ♪
Уникальный закрытый ключ для ваших файлов хранится на наших серверах, однако он будет удален ровно через 168 часов после завершения процесса шифрования ♪
Если у вас нет последних резервных копий, нет способа восстановить те файлы, которые были потеряны без закрытого ключа ♪
Чтобы получить закрытый ключ (и восстановить файлы), вы должны заплатить выкуп, который вы можете сделать с нашего сайта ♪
После того, как вы сделаете онлайн-платеж, нажмите Decrypt Files, и мы проверим с сервера успешность платежа. Закрытый ключ затем будет загружен с сервера и будет использоваться для автоматического дешифрования всех ваших файлов ♪
Посетите xxxx://127.0.0.1:8030 в своем веб-браузере и войдите с ID ниже, чтобы расшифровать свои файлы ♪
ЛЮБЫЕ ПОПЫТКИ УДАЛИТЬ ЭТУ ПРОГРАММУ МОГУТ ПРИВЕСТИ К ТОМУ, ЧТО ВАШ ЗАКРЫТЫЙ КЛЮЧ СТАНЕТ НЕДОСТУПНЫМ, ТО ЕСТЬ ВЫ НИКОГДА НЕ СМОЖЕТЕ ВОССТАНОВИТЬ СВОИ ФАЙЛЫ ♪
Рекомендуется не выключать компьютер до тех пор, пока вы не заплатите и не расшифруете свои файлы. Если эта программа закрыта, вы можете найти копию на рабочем столе с именем BeethoveN.exe, которую вы можете использовать для расшифровки ваших файлов
[xxxxs://soltec6d5qinsppi.hiddenservice.net/]
REFERENCE ID: 123
button [Decrypt Files]

Содержание текста из второго окна:
Files Decypted
Thankyou for choosing to decrypt your files. If any have been missed, please place them on your desktop then click "Rescan" to decrypt them ♪
Have a nice day :) ♪
button [Rescan]
button [Select File Manually]

Перевод текста на русский язык:
Файлы дешифрованы
Спасибо, что решили расшифровать ваши файлы. Если они были пропущены, поместите их на рабочий стол, затем нажмите "Rescan", чтобы расшифровать их. ♪
Хорошего дня :) ♪
кнопка [Rescan]
кнопка [Select File Manually]

👉 Примечательно, что в тексте вместо точек используются значки . Такая вот музыка... 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3gp, .7z, .abr, .acc, .accdb, .act, .adi, .adn, .aep, .aes, .ai, .aif, .alc, .apk, .apx, .asd, .asm, .asp, .asset, .aup, .avi, .avr, .backup, .bak, .bal, .bas, .bat, .big, .blob, .bmp, .boo, .bup, .c++, .cab, .cc, .cdr, .cer, .cfg, .cfm, .class, .cpp, .cs, .csr, .css, .csv, .dds, .doc, .dot, .dtd, .dwg, .dxf, .eps, .exe, .fla, .fnt, .fon, .forge, .gam, .gif, .gz, .h, .htm, .ico, .ics, .ini, .java, .jpeg, .jpg, .js, .key, .kml, .litesql, .log, .lua, .map, .max, .mdb, .mdf, .mp3, .mp4, .obj, .odb, .odt, .otf, .oxt, .pdb, .pdf, .php, .pl, .png, .pps, .ppt, .ps, .psd, .pub, .py, .rar, .raw, .rtf, .sav, .sh, .sln, .sql, .svg, .tar, .tmp, .torrent, .ttf, .txt, .unity3d, .vb, .vbs, .vcxproj, .wallet, .wma, .wmv, .xcf, .xhtml, .xls, .xml, .zip (124 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BeethoveN.exe - исполняемый файл;
FILEUST.txt - список зашифрованных фалов

Расположения:
\Desktop\BeethoveN.exe - копия вымогателя
\Desktop\FILEUST.txt - список зашифрованных фалов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***soltec6d5qinsppi.hiddenservice.net (178.17.173.18:443 - Молдова)
***www.download.windowsupdate.com (8.254.218.158)
***c6d5qinsppi.hiddenservice.net/register.php
***c6d5qinsppi.hiddenservice.net/get.php

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 10 июня 2017:
Вместо использования C2, теперь жёстко прописаны ключи RSA и email.
Email: SK1CU3SE3FI7L@yandex.ru
Результаты анализов: VT



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *