среда, 26 июля 2017 г.

ABCLocker

ABCLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: abc и ABC Locker. На файле написано: cloudsword.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CloudSword >> ABCLocker

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OPEN_TO_UNLOCK_YOUR_FILES.html

Содержание записки о выкупе:
All your files have been encrypted by ABC Locker
All your files have been encrypted with an unique password using AES-256 CBC encryption.
You are able to unlock your files by paying 0.5 Bitcoins (~€249 / $275)
If payment is not made with 5 days the cost of decrypting your files will rise to 1 Bitcoins (~€500 / $550)!
The only way to get your files back is by purchasing the decryption password!
The decryption password will cost 0.5 Bitcoins = S/€249.
You have 5 days before the price increases to $/€500!
Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
On this page you will be able to purchase the bitcoins needed to receive the unique decryption password and decryption software to unlock your files.
After you have paid the requested amount in bitcoins refresh this webpage.
At the bottom of the page and your unique decryption password will appear alongside a download link for the decryption software.
How to buy Bitcoins:
1. Register a bitcoin wallet (optional)
You can either register your own bitcoin wallet or have the bitcoin seller send the bitcoins directly to your address (click here for more information)
2. Purchasing Bitcoins
You need to purchase 0.5 Bitcoins
Below are a couple websites that allow you to purchase bitcoins
• https://bitonic.nl - Purchase Bitcoin with iDeal and MisterCash
• https://www.coinbase.com - Purchase bitcoins with your bank account or credit card
• https://www. litebit.eu - Purchase bitcoins with Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Purchase Bitcoins with CreditCard / Bank Transfer
• https://btcdirect.eu - Purchase Bitcoins with iDeal / Bancontact / Bank transfer
• http://localbitcoins.com - Purchase bitcoins with a variety of payment methods such as bank transfer, western union, cash, paypal and credit card
• https://www.bitstamp.net - Purchase Bitcoins through bank transfer
• https://anvcoindirect.eu - Purchase Bitcoins with Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Send 0.5 Bitcoins 
4. Confirm your payment
Once you have paid the required amount of bitcoins refresh this webpage
Please note that it can take up to 20 minutes for the payment to be confirmed.
5. Go to http://dw2dzfkweixaskxr.onion.to/abc/  after making full payment and get the tool to decrypt your files and open them again. For help with payment, email abchelper@sigaint.org

Перевод записки на русский язык:
Все ваши файлы были зашифрованы ABC Locker
Все ваши файлы были зашифрованы с помощью уникального пароля с шифрованием AES-256 CBC.
Вы можете разблокировать свои файлы, заплатив 0.5 биткойна (~ € 249 / $ 275)
Если оплата не сделана за 5 дней, стоимость дешифрования ваших файлов возрастёт до 1 биткойна (~ 500 евро / 550 долларов США)!
Единственный способ вернуть ваши файлы - это купить пароль для дешифрования!
Пароль расшифровки будет стоить 0.5 биткойна = $ / € 249.
У вас есть 5 дней до того, как цена возрастет до $ / € 500!
Антивирусное ПО НЕ сможет восстановить ваши файлы! Единственный способ восстановить ваши файлы - это купить пароль для дешифрования.
На этой странице вы сможете приобрести биткойны, нужные для получения уникального пароля для дешифрования и дешифрования, чтобы разблокировать ваши файлы.
После того, как вы заплатили запрошенную сумму в биткойнах, обновите эту веб-страницу.
В нижней части страницы и ваш уникальный пароль для дешифрования появится рядом с ссылкой для загрузки программы для дешифрования.
Как купить биткойны:
1. Зарегистрируйте биткойн-кошелёк (необязательно)
Вы можете зарегистрировать свой собственный биткойн-кошелёк или попросить продавца биткойнов отправить биткойны прямо на ваш адрес (щелкните здесь для получения дополнительной информации)
2. Покупка биткойнов
Вам надо приобрести 0.5 биткойна
Ниже приведены несколько веб-сайтов, которые помогут вам покупать биткойны
• https://bitonic.nl - покупка биткойнов с iDeal и MisterCash
• https://www.coinbase.com - Покупка биткойнов со своим банковским счетом или кредитной картой
• https: // www. Litebit.eu - Покупка биткойнов с помощью Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Покупка биткойнов с помощью кредитной карты / банковского перевода
Https://btcdirect.eu - покупка биткойнов с помощью iDeal / Bancontact / банковский перевод
• http://localbitcoins.com - Покупка биткойнов с разными способами оплаты, такими как банковский перевод, Western Union, наличные деньги, PayPal и кредитная карта
• https://www.bitstamp.net - покупка биткойнов посредством банковского перевода
• https://anvcoindirect.eu - Покупка биткойнов с помощью Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Отправить 0.5 биткойны
4. Подтвердите платеж
После того, как вы заплатили нужное количество биткойнов, обновите эту веб-страницу
Обратите внимание, что подтверждение платежа может занять до 20 минут.
5. Перейдите по адресу http://dw2dzfkweixaskxr.onion.to/abc/ после полной оплаты и получите инструмент для расшифровки ваших файлов и откройте их снова. Для получения помощи по оплате email abchelper@sigaint.org


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .3gp, .7z, .DayZProfile, .ac3, .acc, .accdb, .ai, .ape, .apk, .arch00, .arw, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .bson, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .der, .desc, .divx, .djvu, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .epk, .eps, .epub, .erf, .esm, .exif, .ff, .flac, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gzip, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .ifo, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .java, .jfif, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .kwm, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .myd, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwm, .py, .qbb, .qbw, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .rdf, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tax, .tif, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OPEN_TO_UNLOCK_YOUR_FILES.html
abclocker.exe (cloudsword.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://dw2dzfkwejxaskxr.onion.to/abc/
Email: abchelper@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ABCLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *