суббота, 14 апреля 2018 г.

Tron

Tron Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.05 BTC (в диапазоне от 0.007305 до 0.05 BTC), чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .tron

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Tron":

Содержание записки о выкупе:
All your files are encrypted
What happened to my computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recovery your files, but do not waste your time.
Nobody can recover your files without our decryption service.
Can i Recover my Files?
Sure, We guarantee that you can recover II your files safely and easily.
But you have not so enough time.
You have only have 10 days to submit the payment.
Also, if you don't pay in 10 days, you won't be able to recover your files forever.
How Do I pay?
Payment is accepted in bitcoin only. For more inforrmation, click "How to buy Bitcoin". Please check the current price of bitcoin and buy some bitcoins.
And send the correct amount to the address specifiled in the window.
After your payment you need to write to us on mail.
We will decrypt your files.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until! you pay and the
payment gets processed, if your anti-virus gets updated and removes this software autmatically, it will not be able
to recover your files even if you pay!
Amount 0.05   [Copy]
Bitcoin address DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs   [Copy]
EMAIL support_tron@gmail.com   [Copy]
[HOW TO BUY BITCOIN]

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, т.к. они зашифрованы.
Возможно, вы ищет способ восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете безопасно и легко вернуть файлы.
Но у вас мало времени.
У вас есть только 10 дней, чтобы отправить платеж.
Кроме того, если вы не платите за 10 дней, вы не сможете вернуть свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения информации нажмите "How to buy Bitcoin". Проверьте текущую цену биткоина и купите немного биткоинов.
И отправьте правильную сумму по адресу, указанному в окне.
После оплаты вы должны написать нам на почте.
Мы расшифруем ваши файлы.
Мы очень рекомендуем вам не удалять эту программу и не отключать антивирус некоторое время, пока вы платите и
платеж обрабатывается, если ваш антивирус обновится и автоматически удалит эту программу, она не сможет
восстановить ваши файлов, даже если вы заплатите!
Сумма 0.05  [ Copy ]
Биткоин-адрес DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs  [ Copy ]
EMAIL support_tron@gmail.com [ Copy ]
[HOW TO BUY BITCOIN]


При нажатии на кнопку "HOW TO BUY BITCOIN" показывает окно с инструкциями по покупке криптовалюты Bitcoin:


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует онлайн-сервис 2ip.ru для определения IP компьютера, проверяя по ссылке адрес. Но это не работает через адресную строку, там нужно вводить адрес и капчу вручную. 

➤ Определив, что IP-адрес у атакованного ПК относится к России, Беларуси, Казахстану, а также, считав информацию из объекта CultureInfo, который представляет язык и региональные параметры в ОС Windows, что в системе установлена российская локаль, должен завершать работу и не шифровать файлы. Но из-за ошибки в коде этот шифровальщик шифрует все файлы и на всех дисках. 
В коде указаны: Россия, Беларусь и Казахстан

➤ Должен шифровать файлы на рабочем столе и в служебных каталогах AppData и LocalAppData и другие, но из-за ошибки в коде шифрует все файлы и на всех дисках. 
Целевые директории для шифрования

 После завершения шифрования в файл %ProgramData%\\trig записывается значение «123», затем троянец отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого крипто-вымогатель показывает окно с требованиями выкупа.

 Не шифруются файлы размером более 30000000 байт (примерно 28.6 Мб). 

Список файловых расширений, подвергающихся шифрованию:
Из-за ошибки в коде шифруются все файлы!
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

⛳ Вывод: Из-за допущенной в коде шифровальщика ошибки дешифровка поврежденных им файлов в большинстве случаев невозможна. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
Tron.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\AppData\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://2ip.ru/geoip/
Email: support_tron@gmail.com
BTC: DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs

См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Tron)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
Added Later:
Article by Dr.Web in Russian (on April 16, 2018)
Article by Dr.Web in English (on April 16, 2018)
*
*

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov, CyberSecurity GrujaRS
 Dr.Web
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton