среда, 7 марта 2018 г.

Princess Locker-2

Princess Locker-2 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.06 - 0.18 BTC, чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа утраивается. Оригинальные названия: Princess Locker и Princess Decryptor. На файле написано, что попало, например: Clock quite charles Shade promised game.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Princess Locker > Princess Locker-2

К зашифрованным файлам добавляется случайное расширение, например, .cRtG, .fyust, .aknT0IШаблон: .[4-5-6_random_char]. Число знаков может быть и больше, просто в примерах 4, 5 или 6 знаков. 

Примеры зашифрованных файлов: 
document.doc.cRtG
document.doc.fyust 
document.doc.aknT0I

Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на англоязычных и иноязычных пользователей, что позволяет распространять его по всему миру.

Записки с требованием выкупа называются:
=_THIS_TO_FIX_[4-5-6_random_char_extension].txt
=_THIS_TO_FIX_[4-5-6_random_char_extension].html
=_THIS_TO_FIX_[4-5-6_random_char_extension].url

Примеры записок с разными расширениями:
=_THIS_TO_FIX_cRtG.html
=_THIS_TO_FIX_cRtG.txt
=_THIS_TO_FIX_cRtG.url
=_THIS_TO_FIX_fyust.txt
=_THIS_TO_FIX_fyust.html
=_THIS_TO_FIX_fyust.url
= _THIS_TO_FIX_aknT0I.html
= _THIS_TO_FIX_aknT0I.txt
=_THIS_TO_FIX_aknT0I

Содержание записки о выкупе =_THIS_TO_FIX_cRtG.txt:
hpeECbqS CqXdyb qhBGhoryp 
Your ID: U2WbVAYRDcaMQxxx
Your extension: cRtG
()   Your files are encrypted!
(kBFflrEv)   Download and install Tor Browser:
 xxxx://www.torproject.org/download/download-easy.html
()   Follow this link via Tor Browser:
 xxxx://royal25fphqilqft.onion/

Перевод записки на русский язык:
hpeECbqS CqXdyb qhBGhoryp
Ваш ID: U2WbVAYRDcaMQxxx
Ваше расширение: cRtG
() Ваши файлы зашифрованы!
(kBFflrEv) Загрузите и установите Tor Browser:
  xxxx://www.torproject.org/download/download-easy.html
() Следуйте по этой ссылке через Tor Browser:
  xxxx://royal25fphqilqft.onion/

Файл =_THIS_TO_FIX_cRtG.html содержит текст, аналогичный тому, что в текстовой записке.

Файл =_THIS_TO_FIX_cRtG.url является ярлыком Интернета и ведёт на сайт вымогателей xxxx://royal25fphqilqft.onion/


Имеются также записки формата: _ReadMe_.txt.[4-5-6_random_char]
Примеры таких записок:
_ReadMe_.txt.cRtG
_ReadMe_.txt.fyust
_ReadMe_.txt.aknT0I
Судя по добавляемому расширению, они шифруются вместе с файлами пользователя. 

Запиской с требованием выкупа также выступает onion-сайт вымогателей:
Главная страница с выбором языка пользователя
Страница для ввода ID из записки о выкупе
Две части страницы с основной информацией о выкупе

Страница с предложение расшифровки одного файла
Страница с основной информацией по истечении льготного срока уплаты выкупа

*| Внимание, эта информация с ID и другими данными опубликована по истечении срока уплаты выкупа. До этого момента скриншоты с сайта вымогателей не публиковались. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .txt, .xls, .xlsx и др.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
=_THIS_TO_FIX_[4-5-6_random_char_extension].txt
=_THIS_TO_FIX_[4-5-6_random_char_extension].html
=_THIS_TO_FIX_[4-5-6_random_char_extension].url
_ReadMe_.txt.[4-5-6_random_char]
ran.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://royal25fphqilqft.onion/
BTC: 1G61GAVqdfU4BAVa91Ta71T5r7RkGCTUps
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VXVault образец >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 1 марта 2018:
Пост в Твиттере >>
Пост в Твиттере >> 
🎥 Видеообзор >>
Записка: =_HOW_TO_FIX_RQZLIN.txt
или _HOW_TO_FIX_m6Ifia.txt 
Tor-URL: xxxx://royal25fphqilqft.onion


Обновление от 8 июня 2018:
Princess Ransomware продаётся на сайтах кибер-андеграунда.
Пост в Твиттере >>

***

Обновление от 8 апреля 2018:
Пост в Твиттере >>
Про версию пока неизвестно.
Расширение: .[4-5-6_random_char]
Сумма выкупа: 0.06 - 0.18 BTC
BTC-кошелёк: 1FgKWr32pRUwfSSBGTKZohSNV7Euyj5Pjg
Сайт получил новый дизайн с жёлтым фоном.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Princess Locker 2.0)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 * Michael Gillespie
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton