понедельник, 17 июля 2017 г.

OopsLocker

OopsLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: ransom Application и ransom MFC Application. На файле написано: ransom.EXE и oops.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oops

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Oops, all data in your computer has been encrypted.
Your encrypted key file is: C: \PrograrnData\oops\EncryptedKey
Your computer name is: *****
If you wanna decrypt all your data, please send 0.1 bitcoin to the address:
1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
But BEFORE you pay me, you should send me an email with the ENCRYPTED KEY FILE as an attachment, YOUR COMPUTER NAME and BITCOIN ADDRESS you will pay with. So that i can know it's your payment.
My email address is: only4you@protonmail. com
After i confirm the payment, i'll send you an email with your KEY and COMPUTER NAME for decryption, you can input it below, and decrypt.
[...]
[Decrypt]
If you press Decrypt with right KEY, WAIT PATIENTLY, don't do anything until decryption succeeded I!!
If you close it, you can reopen it in C:\ProgramData\oops\oops.exe.
When you reopen it, you should open as Administrator, otherwise, not all data can be decrypted properly. Very Important!!!
Do not modify anything in the oops folder before you pay!!! Very Important!!!
You'd better pay it in a week, the prize will double every week.
If you have any questions, send me an email. I will reply as soon as possible!

Перевод записки на русский язык:
К сожалению, все данные на вашем компьютере зашифрованы.
Ваш ключ шифрования файл: C:\PrograrnData\oops\EncryptedKey
Имя вашего компьютера: *****
Если вы хотите расшифровать все свои данные, отправьте 0.1 биткойн по адресу:
1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
Но ПЕРЕД тем, как вы платите мне, вы должны отправить мне email с файлом ENCRYPTED KEY во вложении, ИМЕНЕМ ВАШЕГО КОМПЬЮТЕРА и BITCOIN-АДРЕСОМ, с которого вы будете платить. Чтобы я знал, что это ваш платеж.
Мой email-адрес: only4you@protonmail.com
После подтверждения платежа я отправлю вам email с вашим KEY и COMPUTER NAME для дешифрования, вы можете ввести его ниже и расшифровать.
[...]
[Decrypt]
Если вы нажмете "Decrypt" с правильным КЛЮЧОМ, ПОДОЖДИТЕ, не делайте ничего, пока дешифрование не отработает!
Если вы закроете его, то его можно открыть заново в C:\ProgramData\oops\oops.exe.
Когда вы откроете его повторно, вы должны открыть как Администратор, иначе не все данные могут быть дешифрованы должным образом. Очень важно!!!
Не изменяйте ничего в папке "oops", прежде чем платить! Очень важно!!!
Вам лучше заплатить за неделю, сумма будет удваиваться каждую неделю.
Если у вас есть вопросы, пришлите мне email. Я отвечу как можно скорее!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Завершает работу процессов: 
MSExchange
sqlserver.exe
sqlwriter.exe

mysqld.exe

Список файловых расширений, подвергающихся шифрованию:
.accdb, .backup, .class, .djvu, .docb, .docm, .docx, .dotm, .dotx, .html, .java, .jpeg, .lay6, .mpeg, .onetoc2, .OutJob, .PcbDoc, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .PrjPcb, .rsrc, .SchDoc, .sldm, .sldx, .sqlite3, .sqlitedb, .step, .text, .tiff, .vmdk, .vsdx, .xlsb, .xlsm, .xlsx, .xltm, .xltx (41 расширение).

Это документы MS Office, текстовые файлы, базы данных, фотографии, музыка, видео, бэкапы, файлы специальных программ и пр.

Файлы, связанные с этим Ransomware:
\oops\
oops.exe
EncryptedFiles.txt
EncryptedKey
KeyHash
много дроппированных файлов.

Расположения:
C:\ProgramData\oops\oops.exe - исполняемый файл
C:\ProgramData\oops\EncryptedFiles.txt - список заш-файлов. 
C:\ProgramData\oops\EncryptedKey
C:\ProgramData\oops\KeyHash

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://crl.thawte.com/
Email: only4you@protonmail.com
BTC: 1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OopsLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *