суббота, 10 июня 2017 г.

BOK RaaS

BOK Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BOK. В тексте на сайте называется как CryptoLocker.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется настраиваемое расширение.

Появление этого крипто-вымогателя пришлось на первую половину июня 2017 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки или скринлок, встающий обоями рабочего стола. 

Содержание текста о выкупе:
!!! IMPORTANT INFORMATION!!!!
BOK Ransomware
All of your files are encrypted RSA-2048 AES-128 ciphers.
More information about the RSA AES can be found here:
http://en.wikipedia.org/wiki/RSA (cryptosystem)
http://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
https://"$sitedomain1".tor2web.org/"$Personalid"
http://"$sitedomain1".onion.to/"$Personalid"
https://"$sitedomain2".tor2web.org/"$Personalid"
http://"$sitedomain2".onion.to/"$Personalid"
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: "$sitedomain1".onion/"$Personalid" or "$sitedomain2".onion/"$Personalid"
4. Follow the instructions on the site.
!!! Your personal identification ID: "$Personalid"!!!

Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
BOK Ransomware
Все ваши файлы зашифрованы RSA-2048 AES-128 шифрами.
Подробную информацию о RSA AES можно найти здесь:
http://en.wikipedia.org/wiki/RSA (cryptosystem)
http://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровать ваши файлы можно только с секретным ключом и программой расшифровки, которая есть на нашем секретном сервере.
Чтобы получить свой секретный ключ, проследуйте по одной из ссылок:
https://"$sitedomain1".tor2web.org/"$Personalid"
http://"$sitedomain1".onion.to/"$Personalid"
https://"$sitedomain2".tor2web.org/"$Personalid"
http://"$sitedomain2".onion.to/"$Personalid"
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: https://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: "$sitedomain1".onion/"$Personalid" или "$sitedomain2".onion/"$Personalid"
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: «$ Personalid» !!!

Информация о выкупе (сумма в долларах, эквивалент в BTC, биткоин-кошелек) указаны на сайте вымогателей в Tor-сети.

Страницы с Tor-сайта вымогателей-разработчиков

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr. .accdt, .ach, .acr. .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx,.asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4,.cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .csv, .CSV,.d3dbsp, .dac, .das, .dat, .dbf, .dbjournal, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der. .des, .design, .dgc, .dif, .dip, .djv. .djvu. .dng. .doc, .dlt,.DOC, .docb, .docm, .docx, .dot, .DOT, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .els, .eml, .eps, .erbsql. .erf, .ess, .exf, .fdb, .ffd, .fff, .fhd,.fit, .fla, .flac, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .Iay6, .ibank, .ibd, .Ibf, .ibz, .Idf, .idx, .iif, .iiq, .incpas, .indd, .Itx, .iwi,.jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key .kpdx, .kwm, .laccdb, .lay, .lit, .litemod, .litesql, .log, .lua, .m2ts, .mapimail, .max, .mbx,.mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (Security copy), .msg, .myd, .MYD,.MYI, .ndd, .ndf, .nef, .NEF, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .ode, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil,.onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pdb, .pdd, .pdf, .pef, .pem, .pet, .pfx, .php, .pic, .pif, .plus muhd, .png,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPT, .pptm, .pptx, .prf, .psafeS. .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx,.qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .RTF. .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk ... .zip (более 300 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
build.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://bf6rqotof6hgyueo.onion/index.php
Jabber: bok@jabb.im
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *