Если вы не видите здесь изображений, то используйте VPN.

понедельник, 25 мая 2015 г.

Locker 2015

Locker Ransomware

(шифровальщик-вымогатель)

Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. На уплату выкупа давалось 72 часа, после чего сумма выкупа увеличивалась до 1 биткоина. Название оригинальное. На экранах блокировки отображались версии со случайными номерами: Locker 1.7, 1.91, 2.62, 2.89, 3.53, 5.52

© Генеалогия: не указана.

К зашифрованным файлам никакое расширение не добавлялось. Во всяком случае, источник его не указал. 

Активность этого крипто-вымогателя пришлась на конец мая 2015 г. (с 25 по 30 мая). Ориентирован был на англоязычных пользователей. 

30 мая 2015 г. разработчик Locker Ransomware выпустил дамп всех закрытых ключей дешифрования вместе с извинениями. 
I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile.

Перевод на русский: 
Я сожалею о шифровании, ваши файлы будут разблокированы бесплатно. Будьте добры к миру и не забывайте улыбаться.

Он также написал 2 июня, что если у кого-то из пользователей ещё имеет место эта инфекция, то будет бесплатно выполняться автоматическая расшифровка зашифрованных файлов. 

Когда закрытые ключи дешифрования стали доступны, специалистами BleepingComputer был создан декриптор Locker Unlocker для бесплатной дешифровки файлов. 


Информация о шифровальщике

Записками с требованием выкупа выступал экран блокировки с заголовком Locker v1.7. 

Я соединил четыре скриншота с окнами в один с анимацией. 

Содержание текста о выкупе:
All your personal files on this computer are locked and encrypted by Locker v.1.7. The encrypting has been done by professional software and your files such as: photo's, video's and cryptocurrency wallets are not damaged but just not readable for now. You can find the complete list with all your encrypted files in the files tab.
The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till 5/28/2015 12.01.41 AM. If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again.
Obtaining your unique private key is easy and can be done by clicking on the payment tab and pay a small amount of 0.1 BTC to the wallet address that was created for you. If the payment is confirmed the decryption key will be send to your computer and the Locker software will automatically start the decrypting process. We have absolutely no interest in keeping your files encrypted forever.
You can still safely use your computer, no new files will be encrypted and no malware will be installed. When the files are encrypted Locker v1.7 will automatically uninstall itself.
Warning any attempt to remove damage or even investigate the Locker softw will lead to immediate destruction of your private key on our server!

Перевод текста на русский язык:
Все ваши личные файлы на этом компьютере заблокированы и зашифрованы Locker v.1.7. Шифрование было выполнено профессиональной программой, и ваши файлы, такие как: фото, видео и кошельки криптовалют, не повреждены, но пока не читаются. Полный список всех вашихзашифрованных файлов можно найти на вкладке "files".
Зашифрованные файлы можно разблокировать только с помощью уникального 2048-битного секретного ключа RSA, который будет храниться на нашем сервере до 28.05.2012 12.01.41. Если ключ не будет получен до этого момента, он будет уничтожен, и вы больше не сможете открывать свои файлы.
Получить ваш уникальный секретный ключ можно легко сделать, нажав на вкладку оплаты и заплатив небольшое количество 0,1 BTC на адрес кошелька, который был создан для вас. Если платеж подтвержден, ключ дешифрования будет отправлен на ваш компьютер, и программа Locker автоматически запустит процесс дешифрования. Мы абсолютно не заинтересованы в том, чтобы ваши файлы были зашифрованы навсегда.
Вы все равно можете безопасно использовать свой компьютер, никакие новые файлы не будут зашифрованы, а вредоносная программа не будет установлена. Когда файлы зашифрованы Locker v1.7 автоматически удаляет себя.
Предупреждение о любых попытках удалить повреждение или даже изучить программу Locker приведет к немедленному уничтожению вашего закрытого ключа на нашем сервере!


Технические детали

Устанавливался в качестве шифровальщика-вымогателя с помощью Trojan.Downloader, ранее загруженного и тайно установленного в качестве службы Windows в C:\Windows\SysWow64 со случайным именем файла, например, solaraddtogs.exe или twitslabiasends.exe. Известные случаи установки через взломанную версию Minecraft - файл MinecraftChecksumValidator.exe. 

Распространяться мог с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Примечательно, что при поиске файлов для шифрования Locker искал только расширения, написанные в нижнем регистре и использовал регистрозависимое сравнение строк, таким образом файлы с расширением .jpg шифровались, а файлы с .JPG - не шифровались. 

➤ Locker Ransomware завершал работу следующих запущенных процессов:
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall

➤ Locker сканировал все буквы дисков на компьютере, включая съемные диски, сетевые ресурсы и подключенные хранилища Dropbox. 

➤ Locker искал и удалял теневые копии файлов на диске C: командой:
vssadmin.exe delete shadows /for=C: /all /quiet

➤ Locker проверял присутствие на ПК виртуальных машин VirtualBox или Vmware и завершал свою работу, если их обнаруживал. 

➤ Locker также искал среди работающих следующие процессы, и если они были найдены, завершал процесс своей установки:
anvir, cain, fiddler, inctrl5, installspy, installwatch, netmon, nwinvestigatorpe, processhacker, procexp, regshot, systracer, trackwinstall, uninstalltool, whatchanged, wireshark 

➤ После завершения шифрования файлов Locker самоудалялся. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx (67 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
C:\ProgramData\Steg\
C:\ProgramData\Steg\steg.exe
C:\ProgramData\rkcl
C:\ProgramData\rkcl\ldr.exe
C:\ProgramData\rkcl\rkcl.exe 
C:\ProgramData\-
C:\ProgramData\Tor\ 
C:\ProgramData\Digger
C:\Windows\SysWow64\<random>.exe
C:\Windows\SysWow64\<random>.bin 
C:\Windows\SysWow64\<random>.dll
C:\Windows\System32\<random>.bin

В папке rkcl находятся файлы:
data.aa0 - содержит список зашифрованных файлов;
data.aa1 - назначение неизвестно;
data.aa6 - уникальный Bitcoin-адрес жертвы;
data.aa7 - ключ RSA, но не ключ дешифрования;
data.aa8 - содержит номер версии Locker;
data.aa9 - дата запуска вымогателя на ПК;
data.aa11 - назначение неизвестно;
data.aa12 - назначение неизвестно;
priv.key - содержит закрытый ключ дешифрования, который можно использовать для дешифровки файлов; появляется только после уплаты выкупа.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Kaspersky Application Advisor >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 мая 2015:
Версия: 3.53
BTC: 13Zpt3oedE2vFEbno2dYd9KHaPQpD8ZFKs
Пост на форуме >>


Обновление от 26 мая 2015:
Версия: 5.52
Пост на форуме >>





=== Дешифровщик ===

Скриншот дешифровщика от Натана Скотта, скомпилированный из ресурсов Маклом Джиллеспи. 
Ссылка на пост на форуме >>
Прямая ссылка на дешифровщик и ресурс находится ниже в блоке с зелёным замком. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Locker Unlocker от Nathan Scott
Ссылка на ресурс >>
Ссылка на созданный дешифровщик >>
*
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up, Topic of Support
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Nathan Scott, Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ToxCrypt, Tox

ToxCrypt Ransomware

Tox Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно. Для генерации ключей шифрования используется Microsoft CryptoAPI. 

К зашифрованным файлам добавляется расширение .toxcrypt

Подробно описан TrendMicro в мае 2015 года. 

Записка о выкупе называется tox.html

Изображение, опубликованное на сайте BleepingComputer

Другой вариант, полученный от пострадавших

Содержание записки:
Attention
The files in your PC are now encrypted. The only way to have them back, is to pay a ransom of 50.00$.
How to pay
You have to pay the ransom in bitcoins to the address 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko which has been reserved for you. Please note that the value of bitcoin is unstable and may change in the near future. The current amount of bitcoin to pay is 0.43 bitcoins (worth 50.00$).
How to buy bitcoins
Buying bitcoin is easy, just follow the instructions:
register here
deposit funds using a credit card or through bank transfer
withdraw 0.43 bitcoins to 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko
wait the transaction to be completed (it usually takes less than two hours)
if your files are not decrypted automatically, please write to tox@sigaint.org with the subject HELP, sending the bitcoin address you paid to (1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko). You can also spam this mailbox with useless stuff or wishing me death, so that mail sent from people who actually need help wont be read.
Tox© copyright 2015 (just kidding)


Перевод на русский язык:
Внимание
Теперь файлы на вашем компьютере зашифрованы. Единственный способ вернуть их - это заплатить выкуп в размере 50.00$.
Как платить
Вы должны заплатить выкуп в биткойнах на адрес 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko, который зарезервирован для вас. Обратите внимание, что стоимость биткойна нестабильна и может измениться в ближайшем будущем. Текущее количество биткойнов для оплаты составляет 0,43 биткойна (на сумму 50.00$.).
Как купить биткойны
Купить биткойн легко, просто следуйте инструкциям:
зарегистрироваться здесь
вносить средства с помощью кредитной карты или банковским переводом
вывести 0,43 биткойна на 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko
дождитесь завершения транзакции (обычно это занимает менее двух часов)
если ваши файлы не расшифровываются автоматически, напишите по адресу tox@sigaint.org с темой HELP, отправив биткойн-адрес, с которого вы заплатили (1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko). Вы также можете спамить этот почтовый ящик бесполезными вещами или пожелать мне смерти, чтобы письма, отправленные от людей, которым действительно нужна помощь, не были прочитаны.
Tox© copyright 2015 (шучу)



Технические детали

  Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\. 

  В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой. 




Установленные фалы вымогателя: 
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip

Список файловых расширений, подвергающихся шифрованию:
 .3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений). 

Сетевые подключения и связи:
Email: tox@sigaint.org 

BTC: 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko


Степень распространенности: средняя.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 10 мая 2015 г.

El-Polocker

El-Polocker Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные с помощью AES (для файлов) + RSA (для ключа шифрования), а затем требует выкуп в $450 AUD (австралийский доллар). Цели шифрования: документы, PDF, фотографии, музыка, видео, общие папки, общие сетевые ресурсы и пр. 

Зашифрованные файлы получают расширение .ha3

Название на скринлоке: Los Pollos Hermanos (исп. "Братья-цыплята"). Известен с начала 2015 г. Специалисты нашли в коде вредоноса румынский след, указывающий на румынское происхождение вредоноса. 

Происхождения названия:  
Los Pollos Hermanos — сеть фастфуд-ресторанов с жареной курицей, известная в Мексике и юго-западе США. По английски: "The Chicken Brothers". Основатели сети: Густаво "Gus" Фринг и Максимино "Max" Арчинега. В народе ассоциируется с мафией и отмыванием денег. По мотивам истории в США был снят сериал "Breaking Bad", сюжет которого главным образом раздут и надуман. 

Записки о выкупе называются: qwer.html, qwer2.html, locked.bmp. 



Содержание текста с экрана:
Your important files have been encrypted: photos, documents, videos, etc.
If you want to decrypt your files you must pay the fee of $450 AUD
Failure to pay within the specified time will mean you must pay $1000 AUD
For support related inquires contact:
theonewhoknocks6969@mailinator.com

Перевод на русский язык: 
Ваши важные файлы зашифрованы: фото, документы, видео и т.д.
Если хотите дешифровать файлы, вы должны заплатить $ 450 AUD
Не уплатив за указанное время будете должны заплатить $1000 AUD
Для помощи свяжитесь с нами:
theonewhoknocks6969@mailinator.com

Список файловых расширений, подвергающихся шифрованию: 
.ai, .crt, .csv, .db, .doc, .docm, .docx, .dotx, .gif, .jpg, .jpeg, .lnk, .mp3, .msi, .ods, .one, .ost, .p12, .pdf, .pem, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .pub, .rar, .raw, .rtf, .tif, .txt, .vsdx, .wma, .xml, .xls, .xlsm, .xlsx, .zip

El-Polocker удаляет теневые копии файлов, отключает функции восстановление системы и автоматического исправления ошибок при загрузке системы. Шифрует каждый файл данных со своим собственным симметричным ключом AES-шифрования. Этот ключ шифруется с помощью ключа RSA, который загружается с сервера вымогателей, и сохраняется в seckeys.DONOTDELETE вместе с именем файла.

El-Polocker распространяется через поддельные штрафные уведомления DHL, содержащие ссылку на файл, размещенный на DropBox, который содержит файл VBS Penalty.vbs. Если этот файл запустить, то он загрузит и выполнит скрипт PowerShell, являющийся основным компонентом вымогателя El-Polocker. Скрипт PowerShell запустившись инжектирует Reflect.dll в Explorer.exe с помощью сценария из PowerSploit, а затем выполняет VoidFunc. Эта функция загружает t.dll для выполнения зачистки на компьютере: удаления теневых копий файлов, отключения в реестре восстановление системы и автоматического исправления ошибок при загрузке Windows. 

По окончании шифрования и всех зачисток на экран выводится сообщение о выкупе, которое содержит инструкции о том, как заплатить выкуп за дешифровку.


Файлы, связанные с Ransomware:
C:\1\locked.bmp - изображение, заменяющее обои рабочего стола;
C:\1\reflect.dll - DLL, инжектируемая в Explorer.exe
C:\1\t.dll - другая инжектируемая DLL для функции зачистки;
C:\ReflectiveLoaderTest\DllMain.txt.ha3 - лог инжекции, зашифрованный El-Polocker;
%Desktop%\customer.Id - биткоин-адрес для жертвы;
%Desktop%\encrypted.htm - список зашифрованных файлов;
%Desktop%\qwer.html - записка о выкупе №1;
%Desktop%\qwer2.html - записка о выкупе №2;
%Desktop%\seckeys.DONOTDELETE - ключи шифрования для каждого зашифрованного файла. 

Записи реестра, связанные с Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 1
HKCU\Control Panel\Desktop\Wallpaper "C:\1\locked.bmp"

Подробные технические детали >>>
Статья от Symantec >>

Степень распространенности: средняя.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles. 

пятница, 1 мая 2015 г.

AlphaCrypt

AlphaCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  TeslaCrypt 2.x  > AlphaCrypt

К зашифрованным файлам добавляется расширение .ezz

Активность этого крипто-вымогателя пришлась на май 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает текстовый файл, экран блокировки и изображение, встающее обоями Рабочего стола:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 


Другим информатором жертвы выступает платежный сайт для Alpha Crypt, который называется Alpha Tool Decryption Service.

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files press button to open your personal page
[File decryption site] and follow the instruction.
in case of "File decryption button" malfunction use one of our gates:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Use your Bitcoin address to enter the site:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
if both button and reserve gate not opening, please follow the steps:
You must install this browser www.torproect.org/proects/torbrowser.html.en
After instalation, run the browser and enter address 3kxwjihmkgibht2s.onion
Follow the instruction on the web-site. We remind you that the sooner you do so, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. 
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]

Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надёжно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы просмотреть полный список зашифрованных файлов, и вы можете лично убедиться в этом.
Шифрование было создано с использованием уникального открытого ключа RSA-2048, сгенерированного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Когда это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы дешифровать файлы, нажмите кнопку, чтобы открыть свою личную страницу.
Нажмите [File decryption site] и следуйте инструкциям.
при несрабатывании "File decryption button" используйте один из наших входов:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Используйте свой Bitcoin-адрес для входа на сайт:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
если обе кнопки и резервные входы не открываются, выполните следующие действия:
Вы должны установить этот браузер www.torproect.org/proects/torbrowser.html.en
После установки запустите браузер и введите адрес 3kxwjihmkgibht2s.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем раньше вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить эту программу приведёт к немедленному удалению сервером закрытого ключа.
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (Angler EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Alpha Crypt шифрует файл, он сначала копирует его, шифрует копию и удаляет оригинал. Благодаря этому можно использовать ПО для восстановления файлов, такое как GetDataBack, R-Studio, Photorec и другие, чтобы восстановить некоторые из ваших исходных файлов. 

AlphaCrypt, разработан параллельно с TeslaCrypt, однако принцип его действия соответствует функционалу Cryptowall 3.0.

В него добавлены некоторые улучшения, в частности, возможность удаления теневых копий файлов командой:
vssadmin.exe delete shadows /all /Quiet

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .sql, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H66iejHkDY9SZJRrFrnhLjHff6MRMhKu6
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
1376QscZ5svHVpasrFcinn3jZn7nAfRdvi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 мая 2015:
Название: Alpha Crypt или TeslaCrypt
Расширение: .exx
Записки: %Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
%Documents%\RECOVERY_FILE.TXT
Файлы: %LocalAppData%\<random>.exe
%LocalAppData%\log.html
%LocalAppData%\storage.bin
%Desktop%\Save_Files.lnk
Записи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc   %LocalAppData%\<random>.exe
HKCU\Control Panel\Desktop\Wallpaper   "%Desktop%\HELP_RESTORE_FILES.bmp"
Список целевых расширений:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (187 расширений). 
Примечательно, что только в этой версии экран блокировки совсем другой. 
Скриншот экрана блокировки
Тема на форуме BC >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support, Malware-traffic-analysis
 Write-up 
 Thanks: 
 Brad Duncan
 Lawrence Abrams
 Webroot blog
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *