Если вы не видите здесь изображений, то используйте VPN.

среда, 26 июля 2017 г.

ABCLocker

ABCLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: abc и ABC Locker. На файле написано: cloudsword.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CloudSword >> ABCLocker

К зашифрованным файлам добавляется расширение: данные не предоставлены. Возможно, должно быть .abc

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OPEN_TO_UNLOCK_YOUR_FILES.html

Содержание записки о выкупе:
All your files have been encrypted by ABC Locker
All your files have been encrypted with an unique password using AES-256 CBC encryption.
You are able to unlock your files by paying 0.5 Bitcoins (~€249 / $275)
If payment is not made with 5 days the cost of decrypting your files will rise to 1 Bitcoins (~€500 / $550)!
The only way to get your files back is by purchasing the decryption password!
The decryption password will cost 0.5 Bitcoins = S/€249.
You have 5 days before the price increases to $/€500!
Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
On this page you will be able to purchase the bitcoins needed to receive the unique decryption password and decryption software to unlock your files.
After you have paid the requested amount in bitcoins refresh this webpage.
At the bottom of the page and your unique decryption password will appear alongside a download link for the decryption software.
How to buy Bitcoins:
1. Register a bitcoin wallet (optional)
You can either register your own bitcoin wallet or have the bitcoin seller send the bitcoins directly to your address (click here for more information)
2. Purchasing Bitcoins
You need to purchase 0.5 Bitcoins
Below are a couple websites that allow you to purchase bitcoins
• https://bitonic.nl - Purchase Bitcoin with iDeal and MisterCash
• https://www.coinbase.com - Purchase bitcoins with your bank account or credit card
• https://www. litebit.eu - Purchase bitcoins with Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Purchase Bitcoins with CreditCard / Bank Transfer
• https://btcdirect.eu - Purchase Bitcoins with iDeal / Bancontact / Bank transfer
• http://localbitcoins.com - Purchase bitcoins with a variety of payment methods such as bank transfer, western union, cash, paypal and credit card
• https://www.bitstamp.net - Purchase Bitcoins through bank transfer
• https://anvcoindirect.eu - Purchase Bitcoins with Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Send 0.5 Bitcoins 
4. Confirm your payment
Once you have paid the required amount of bitcoins refresh this webpage
Please note that it can take up to 20 minutes for the payment to be confirmed.
5. Go to http://dw2dzfkweixaskxr.onion.to/abc/  after making full payment and get the tool to decrypt your files and open them again. For help with payment, email abchelper@sigaint.org

Перевод записки на русский язык:
Все ваши файлы были зашифрованы ABC Locker
Все ваши файлы были зашифрованы с помощью уникального пароля с шифрованием AES-256 CBC.
Вы можете разблокировать свои файлы, заплатив 0.5 биткоина (~ € 249 / $ 275)
Если оплата не сделана за 5 дней, стоимость дешифрования ваших файлов возрастёт до 1 биткоина (~ 500 евро / 550 долларов США)!
Единственный способ вернуть ваши файлы - это купить пароль для дешифрования!
Пароль расшифровки будет стоить 0.5 биткоина = $ / € 249.
У вас есть 5 дней до того, как цена возрастет до $ / € 500!
Антивирусное ПО НЕ сможет восстановить ваши файлы! Единственный способ восстановить ваши файлы - это купить пароль для дешифрования.
На этой странице вы сможете приобрести биткоины, нужные для получения уникального пароля для дешифрования и дешифрования, чтобы разблокировать ваши файлы.
После того, как вы заплатили запрошенную сумму в биткоинах, обновите эту веб-страницу.
В нижней части страницы и ваш уникальный пароль для дешифрования появится рядом с ссылкой для загрузки программы для дешифрования.
Как купить биткоины:
1. Зарегистрируйте биткоин-кошелёк (необязательно)
Вы можете зарегистрировать свой собственный биткоин-кошелёк или попросить продавца биткоинов отправить биткоины прямо на ваш адрес (щелкните здесь для получения дополнительной информации)
2. Покупка биткойнов
Вам надо приобрести 0.5 биткоина
Ниже приведены несколько веб-сайтов, которые помогут вам покупать биткоины
• https://bitonic.nl - покупка биткоинов с iDeal и MisterCash
• https://www.coinbase.com - Покупка биткоинов со своим банковским счетом или кредитной картой
• https: // www. Litebit.eu - Покупка биткоинов с помощью Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Покупка биткоинов с помощью кредитной карты / банковского перевода
Https://btcdirect.eu - покупка биткоинов с помощью iDeal / Bancontact / банковский перевод
• http://localbitcoins.com - Покупка биткоинов с разными способами оплаты, такими как банковский перевод, Western Union, наличные деньги, PayPal и кредитная карта
• https://www.bitstamp.net - покупка биткойнов посредством банковского перевода
• https://anvcoindirect.eu - Покупка биткойнов с помощью Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Отправить 0.5 биткоины
4. Подтвердите платеж
После того, как вы заплатили нужное количество биткоинов, обновите эту веб-страницу
Обратите внимание, что подтверждение платежа может занять до 20 минут.
5. Перейдите по адресу http://dw2dzfkweixaskxr.onion.to/abc/ после полной оплаты и получите инструмент для расшифровки ваших файлов и откройте их снова. Для получения помощи по оплате email abchelper@sigaint.org


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

netsh.exe Firewall set opmode disable

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .3gp, .7z, .DayZProfile, .ac3, .acc, .accdb, .ai, .ape, .apk, .arch00, .arw, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .bson, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .der, .desc, .divx, .djvu, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .epk, .eps, .epub, .erf, .esm, .exif, .ff, .flac, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gzip, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .ifo, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .java, .jfif, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .kwm, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .myd, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwm, .py, .qbb, .qbw, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .rdf, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tax, .tif, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OPEN_TO_UNLOCK_YOUR_FILES.html
abclocker.exe (cloudsword.exe)
cloudsword.pdb
Windows Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://dw2dzfkwejxaskxr.onion.to/abc/
Email: abchelper@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ABCLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *