пятница, 20 октября 2017 г.

Ordinal

Ordinal Ransomware

(шифровальщик-вымогатель, тест-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: Ordinal. На файле написано: Main. Экспериментальная (тестовая) разработка.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> Ordinal

К зашифрованным файлам добавляется расширение .Ordinal

Образец этого крипто-вымогателя обнаружен во второй половине октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, не доработан или это экспериментальная версия. 

Записка с требованием выкупа называется: READ Me To Get Your Files Back.txt.Ordinal

Содержание записки о выкупе:
ORDINAL RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee. Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key.
-
WHAT NOT TO DO
DO NOT RESTART/TURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
-
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
-
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Identification: VU0PGNJ2
Amount To Send: 1.00 BTC
Contact: TEST@protonmail.com
Click on Address and ID to copy

Перевод записки на русский язык:
ORDINAL RANSOMWARE
Следуйте инструкциям, чтобы разблокировать данные
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с шифрованием военного класса AES-256
ИНСТРУКЦИИ
Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп. После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальное состояние.
Отправьте требуемую плату (см. Ниже) на Bitcoin-адрес (см. Ниже). После того, как вы отправили требуемую плату на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Для нас может потребоваться 12-24 часа. Вы получите программу расшифровки + ключ дешифрования.
-
ЧЕГО НЕ ДЕЛАТЬ
НЕ ПЕРЕЗАГРУЖАЙТЕ / НЕ ВЫКЛЮЧИТЕ КОМПЬЮТЕР
НЕ ПОПЫТАЙТЕСЬ САМИ ВОССТАНОВИТЬ ФАЙЛЫ 
НЕ ЗАКРЫВАЙТЕ ЭТУ ПРОГРАММУ
-
КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ ОТ СЕГО ДНЯ
-
Биткоин-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Идентификация: VU0PGNJ2
Сумма для отправки: 1.00 BTC
Контактное лицо: TEST@protonmail.com
Нажмите Адрес и ID, чтобы скопировать

Также устанавливает своеобразные обои на Рабочий стол, но без текста о выкупе. 



Технические детали

Нет данных о массовом распространении. Если будет финальный релиз, то вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Не шифрует файлы, если определяет, что запущен на виртуальной машине, но этот функционал ещё не отлажен. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Main.exe
READ Me To Get Your Files Back.txt.Ordinal

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TEST@protonmail.com
BTC: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
xxxxs://imgur.com/Byn2W5h - использует для загрузки обоев
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: очень низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton