четверг, 13 июля 2017 г.

Blackout

Blackout Ransomware

(шифровальщик-вымогатель, OSR)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: Blackout. Позиционирует себя как бесплатный OSR (Open Source Ransomware)
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется настраиваемое расширение.
Файлы переименовываются с помощью Base64. 

Образец этого крипто-вымогателя был обнаружен в первой половине июля 2017 г. и он уже распространялся. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Взявший этот OSR на вооружение вымогатель может менять название на желаемое. 

Записка с требованием выкупа называется: README_1183339_23654.txt

Содержание записки о выкупе:
Your files have been encrypted <BLACKOUT> ransomware!
Your personal Id:
ZiaDE*****UOY2E
LICENSE AGREEMENT
Blackout ransomware is a free open source software.
The program is designed to test the protection of OS Windows against ransomware.
The developer of this software is not responsible for any damage caused by the program.
The program is experimental and the entire responsibility for use lies with the user.
HOW TO USE:
To decrypt your files, you need the program blackout_decryptor.exe
If you do not have it, write to email: blackzd@derpymail.org or blackzd@xmail.net
In the letter, send your personal id and two small encrypted files for trial decryption.
If you dont get answer from blackzd@derpymail.org or blackzd@xmail.net in 72 hours,
you need to install tor browser, you can download it here:
https://www.torproject.org/download/download.html.en
After installation, open the tor browser to website:
http://mail2tor2zyjdctd.onion/register.php
Register on the site a new email address and write to us with his letter to our address:
blackoutsupport@mai12tor.com
NN:506358115267996

Перевод записки на русский язык:
Ваши файлы были зашифрованы <BLACKOUT> ransomware!
Ваш личный Id:
ZiaDE*****UOY2E
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ
Blackout ransomware - бесплатная программа с открытым исходным кодом.
Программа предназначена для проверки защиты ОС Windows от вымогательства.
Разработчик этого программного обеспечения не несет ответственности за ущерб, нанесенный программой.
Программа экспериментальная и вся ответственность за ее использование лежит на пользователе.
КАК ИСПОЛЬЗОВАТЬ:
Чтобы расшифровать ваши файлы, вам понадобится программа blackout_decryptor.exe
Если у вас его нет, напишите по электронной почте: blackzd@derpymail.org или blackzd@xmail.net
В письме отправьте свой личный идентификатор и два небольших зашифрованных файла для пробной расшифровки.
Если вы не получите ответ от blackzd@derpymail.org или blackzd@xmail.net через 72 часа,
Вам нужно установить Tor-браузер, вы можете скачать его здесь:
https://www.torproject.org/download/download.html.en
После установки откройте Tor-браузер на веб-сайте:
http://mail2tor2zyjdctd.onion/register.php
Зарегистрируйте на сайте новый email-адрес и напишите нам с него на наш адрес:
blackoutsupport@mai12tor.com
NN: 506358115267996


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются комнадой: 
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_1183339_23654.txt
blackout.exe
blackout_decryptor.exe

Расположения:
C:\update.bat
%APPDATA%\delback.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
blackzd@derpymail.org
blackzd@xmail.net
blackoutsupport@mai12tor.com
xxxx://mail2tor2zyjdctd.onion/register
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 1 августа 2017:
Пост в Твиттере >>
Файлы: verytu.exe, delback.bat, update.bat
Результаты анализов: HA+VT
Примеры записок: README_3509728_14800.txt
README_1910092_25012.txt
README_3509728_19216.txt
<< Скриншот записки




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blackout)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri‏ 
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton