среда, 6 апреля 2016 г.

HelpMe

HelpMe Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует платы за услуги дешифровки, чтобы восстановить файлы. В ответном письме может быть указана любая сумма в биткоинах: 1, 2, 3... Название получил от первой части адреса вымогателей. 

© Генеалогия: ***

К зашифрованным файлам добавляется составное расширение по шаблону .id-4126721512_helpme@freespeechmail.org. То есть файл wallpaper.jpg станет wallpaper.jpg.id-4126721512_helpme@freespeechmail.org у жертвы с ID 4126721512. 

Активность этого криптовымогателя пришлась на ноябрь 2015 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: Recovery.bmp

Вымогательский текст и условия написана на скринлоке, встающем обоями рабочего стола. 

Содержание текста о выкупе:
Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at helpme@freespeechmail.org
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address:
helping@openmailbox.org

Перевод текста на русский язык:
Внимание! Ваш компьютер был атакован вирусом-энкодером!
Все ваши файлы зашифрованы с криптографически стойким алгоритмом.
Без оригинального ключа восстановление невозможно.
Для получения декодера и оригинального ключа вам надо написать нам на helpme@freespeechmail.org
Наша помощь небесплатна, потому нужно заплатить разумную цену за наши услуги расшифровки. Исключений не будет.
В теме вашего email-письма включите ID номер, который можно найти в имени файла всех зашифрованных файлов.
Это в ваших интересах ответить как можно скорее, чтобы восстановить файлы.
P.S. только в случае, если вы не получили ответ от первого email-адреса за 48 часов, пожалуйста, используйте этот альтернативный адрес:
helping@openmailbox.org

Пример ответного письма вымогателей:
Hello
If you wish to get all your files back, you need to pay 3 BTC.
How to get bitcoins?
1. google bitcoin ATMs
2. google localbitcoins dot com
3. google: buy bitcoins
This is the only way to get your files back.
There’s no way to decrypt them without the original key.
The price is non-negotiable.
After paying 3 BTC and emailing the confirmation of payment you will be provided with a decoder.
If you don’t trust me, you can email one of your files, I will decode it and send it back to you.
However, if the file you’re requesting to decode is valuable, I will send you either a quote from it or a screenshot.
I apologise for any inconvenience caused.
Let me know if you want to proceed.
Thank you for cooperation.

Перевод на русский язык:
Привет
Если хотите получить все ваши файлы обратно, то вам нужно оплатить 3 BTC.
Как получить биткойны?
1. гугли bitcoin ATMs
2. гугли localbitcoins dot com
3. гугли: buy bitcoins
Это единственный способ получить файлы обратно.
Никакого способа расшифровать их без оригинального ключа.
Цена не является предметом переговоров.
После оплаты 3 BTC и отправки по email подтверждение об оплате вам будет предоставлен декодер.
Если вы не доверяете мне, то пришлите по email один из ваших файлов, я декодирую его и пришлю его вам обратно.
Тем не менее, если файл запрашенный для дешифровки очень ценный, я пошлю вам либо цитату из него или скриншот.
Прошу прощения за возможные неудобства.
Дайте мне знать, если хотите продолжить.
Благодарим за сотрудничество.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
doc, docx, pdf, xls, xlsx, jpg, jpeg и другие.

Файлы, связанные с HelpMe Ransomware:
Recovery.bmp

Записи реестра, связанные с HelpMe Ransomware:
***

Email вымогателей:
helpme@freespeechmail.org
helping@openmailbox.org

Позже, в начале 2016 года, были замечены другие адреса вымогателей:
email_info@cryptedfiles.biz и другие. 

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: высокая (по семейству).
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптор

 Read to links: 
 Writeup on BC
 RakhniDecryptor 
 *
 Thanks: 
 Lawrence Abrams
 Kaspersky Lab
 *
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *