HC6 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $2500 в BTC за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название. Написан на Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: HC6 > HC7
К зашифрованным файлам добавляется расширение .fucku
Зашифрованные файлы и записка о выкупе
Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: recover_your_fies.txt
Содержание записки о выкупе (грамота сохранена):
ALL YOUR FILES WERE incript.
ORDER, TO RESTORE THIS FILE, YOU MUST SEND AT THIS ADDRESS
FOR $ 2500 BTC FOR ALL NETWORK
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv AFTER PAYMENT SENT EMAIL nullforwarding@qualityservice.com
FOR INSTALLATION FOR DECRIPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Заказ восстановления этот файл, вы должны отправить на этот адресу
Для $ 2500 btc для всей сети
1b8g2l24xbn1sdbpurungmxwzwfgvxuyqv после оплаты отправить на email nullforwarding@qualityservice.com
Для установки для дешифровки
Не выключать компьютер, если он не сломается
_
Английский текст записки настолько плох, что перевод пришлось немного подкорректировать, сохранив "грамоту" оригинала.
Технические детали
Распространяется путём взлома через незащищенную конфигурацию RDP, но не исключено распространение с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm,
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.
Файлы, связанные с этим Ransomware:
recover_your_fies.txt
hc6.exe (<random>.exe)
PsExec.exe — утилита PsExec для удаленного выполнения команд
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: nullforwarding@qualityservice.com
BTC: Для каждой жертвы биткоин-адрес выбирается случайным образом из следующих 14-ти жёстко закодированных адресов:
1B8yXW8mv2cXYHyXatTkVsek3BpNWdJqBk
1Mh1aVDXAF2ykzMgvwhWwmz7Gw8ttb2qzL
1DdLF32aXfjiURL6VWbsW3rWSuaLZUBfrN
1F4CuNNq58ghSp18e19eRGBqSeAdnbdS62
1ESfumREnY7dazgTtLysxHpLwEykNhGemG
1DuMyrXt64es6BenRSHy9LPubqEq9YR99m
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
1FEsU4nL3WBG4YWmzR9BwKtdn9ALqobWJ3
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
1GHLUDpgBmZwVk4kAbNcJsYa3uvCBf6imC
1M4fMkihMBxS4sQQtfCTq5t2UjpdBEQMYe
1CR77rKXNkxGL13nZa1dFdYm2biqmqLjdf
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Ⓥ VirusBay >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 декабря 2017:
См. статью HC7 Ransomware >>
Шифрование: AES-256 CBC и SHA256
Файлы: hc7.exe, diskimagemounter.exe
Расширение: .gotya или .GOTYA
Email: m4zm0v@keemail.me
BTC: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6 и другие.
Записка: RECOVERY.TXT
Результаты анализов: HA + VT + HA + VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер Скачать hc6Decrypter для дешифровки >> *
Read to links: Tweet on Twitter + Twitter ID Ransomware (ID as hc6, hc7) Write-up, Topic of Support *
Thanks: Michael Gillespie victims of Ransomware SDK Ido Naor Alex Svirid
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.