среда, 26 июля 2017 г.

ABCLocker

ABCLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: abc и ABC Locker. На файле написано: cloudsword.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CloudSword >> ABCLocker

К зашифрованным файлам добавляется расширение: данные не предоставлены. Возможно, должно быть .abc

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OPEN_TO_UNLOCK_YOUR_FILES.html

Содержание записки о выкупе:
All your files have been encrypted by ABC Locker
All your files have been encrypted with an unique password using AES-256 CBC encryption.
You are able to unlock your files by paying 0.5 Bitcoins (~€249 / $275)
If payment is not made with 5 days the cost of decrypting your files will rise to 1 Bitcoins (~€500 / $550)!
The only way to get your files back is by purchasing the decryption password!
The decryption password will cost 0.5 Bitcoins = S/€249.
You have 5 days before the price increases to $/€500!
Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
On this page you will be able to purchase the bitcoins needed to receive the unique decryption password and decryption software to unlock your files.
After you have paid the requested amount in bitcoins refresh this webpage.
At the bottom of the page and your unique decryption password will appear alongside a download link for the decryption software.
How to buy Bitcoins:
1. Register a bitcoin wallet (optional)
You can either register your own bitcoin wallet or have the bitcoin seller send the bitcoins directly to your address (click here for more information)
2. Purchasing Bitcoins
You need to purchase 0.5 Bitcoins
Below are a couple websites that allow you to purchase bitcoins
• https://bitonic.nl - Purchase Bitcoin with iDeal and MisterCash
• https://www.coinbase.com - Purchase bitcoins with your bank account or credit card
• https://www. litebit.eu - Purchase bitcoins with Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Purchase Bitcoins with CreditCard / Bank Transfer
• https://btcdirect.eu - Purchase Bitcoins with iDeal / Bancontact / Bank transfer
• http://localbitcoins.com - Purchase bitcoins with a variety of payment methods such as bank transfer, western union, cash, paypal and credit card
• https://www.bitstamp.net - Purchase Bitcoins through bank transfer
• https://anvcoindirect.eu - Purchase Bitcoins with Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Send 0.5 Bitcoins 
4. Confirm your payment
Once you have paid the required amount of bitcoins refresh this webpage
Please note that it can take up to 20 minutes for the payment to be confirmed.
5. Go to http://dw2dzfkweixaskxr.onion.to/abc/  after making full payment and get the tool to decrypt your files and open them again. For help with payment, email abchelper@sigaint.org

Перевод записки на русский язык:
Все ваши файлы были зашифрованы ABC Locker
Все ваши файлы были зашифрованы с помощью уникального пароля с шифрованием AES-256 CBC.
Вы можете разблокировать свои файлы, заплатив 0.5 биткоина (~ € 249 / $ 275)
Если оплата не сделана за 5 дней, стоимость дешифрования ваших файлов возрастёт до 1 биткоина (~ 500 евро / 550 долларов США)!
Единственный способ вернуть ваши файлы - это купить пароль для дешифрования!
Пароль расшифровки будет стоить 0.5 биткоина = $ / € 249.
У вас есть 5 дней до того, как цена возрастет до $ / € 500!
Антивирусное ПО НЕ сможет восстановить ваши файлы! Единственный способ восстановить ваши файлы - это купить пароль для дешифрования.
На этой странице вы сможете приобрести биткоины, нужные для получения уникального пароля для дешифрования и дешифрования, чтобы разблокировать ваши файлы.
После того, как вы заплатили запрошенную сумму в биткоинах, обновите эту веб-страницу.
В нижней части страницы и ваш уникальный пароль для дешифрования появится рядом с ссылкой для загрузки программы для дешифрования.
Как купить биткоины:
1. Зарегистрируйте биткоин-кошелёк (необязательно)
Вы можете зарегистрировать свой собственный биткоин-кошелёк или попросить продавца биткоинов отправить биткоины прямо на ваш адрес (щелкните здесь для получения дополнительной информации)
2. Покупка биткойнов
Вам надо приобрести 0.5 биткоина
Ниже приведены несколько веб-сайтов, которые помогут вам покупать биткоины
• https://bitonic.nl - покупка биткоинов с iDeal и MisterCash
• https://www.coinbase.com - Покупка биткоинов со своим банковским счетом или кредитной картой
• https: // www. Litebit.eu - Покупка биткоинов с помощью Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Покупка биткоинов с помощью кредитной карты / банковского перевода
Https://btcdirect.eu - покупка биткоинов с помощью iDeal / Bancontact / банковский перевод
• http://localbitcoins.com - Покупка биткоинов с разными способами оплаты, такими как банковский перевод, Western Union, наличные деньги, PayPal и кредитная карта
• https://www.bitstamp.net - покупка биткойнов посредством банковского перевода
• https://anvcoindirect.eu - Покупка биткойнов с помощью Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Отправить 0.5 биткоины
4. Подтвердите платеж
После того, как вы заплатили нужное количество биткоинов, обновите эту веб-страницу
Обратите внимание, что подтверждение платежа может занять до 20 минут.
5. Перейдите по адресу http://dw2dzfkweixaskxr.onion.to/abc/ после полной оплаты и получите инструмент для расшифровки ваших файлов и откройте их снова. Для получения помощи по оплате email abchelper@sigaint.org


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

netsh.exe Firewall set opmode disable

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .3gp, .7z, .DayZProfile, .ac3, .acc, .accdb, .ai, .ape, .apk, .arch00, .arw, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .bson, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .der, .desc, .divx, .djvu, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .epk, .eps, .epub, .erf, .esm, .exif, .ff, .flac, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gzip, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .ifo, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .java, .jfif, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .kwm, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .myd, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwm, .py, .qbb, .qbw, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .rdf, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tax, .tif, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OPEN_TO_UNLOCK_YOUR_FILES.html
abclocker.exe (cloudsword.exe)
cloudsword.pdb
Windows Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://dw2dzfkwejxaskxr.onion.to/abc/
Email: abchelper@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ABCLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton