понедельник, 23 мая 2016 г.

BadBlock

BadBlock Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. К зашифрованным файлам никакое специальное расширение не добавляется. 

  Записки о выкупе называются Help Decrypt.html и Help_Decrypt.txt и размещаются в каждой папке с зашифрованными файлами. В качестве обоев рабочего стола ставится изображение Help_Decrypt.png с аналогичным содержанием и таким же яркокрасным дизайном. 

Содержание записки о выкупе:
BadBlock is on the block!
This machine was infected with ransomware BadBlock. Many of your files are encrypted using RSA algorithm, and
the key to decrypt this files is with us on our server.
- What this means?
It means that to decrypt and recover your files, you will need to pay a ransom, in bitcoins. The actual ransom for your machine is 2 bitcoins (USD -900.00).
If you are not interested in pay this ransom, you can easily format this machine, or even remove BadBlock (it's not that hard), but all your files will become unrecoverable!
- How do I pay?
You simply buy bitcoins. and transfer them to this account: l9zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
The amount is 2 bitcoins. like we talked earlier... You can use this link or this link to help you out on how to buy the bitcoins.
- What happens after the payment?
BadBlock still running on your computer right now. and waiting to detect one payment of 2 BTC on the address mentioned above. Once it detects, it will start to decrypt all the encrypted files. The process to detect the payment can take up to 2 hours, and only after this it will start decrypting your files. So after payment leave this machine powered.
For this reason, we strongly recommend you to not try to remove BadBlock. and disable your anti-virus for a while, until you pay and the payment gets processed, to BadBlock start decrypting. If your anti-virus gets updated and remove BadBlock automatically, even if you pay the ransom, it will not be able to recover your files!
- How do I know that you will really decrypt my files after payment?
You don't You have only one choice to recover your files: pay the ransom. We have no interest in keeping your files locked for any reason. So right now. just rely on us and everything will be fine.

Перевод записки на русский язык:
BadBlock в действии! (Буквально "в на блоке")
Эта машина инфицирована вымогателем BadBlock. Многие ваши файлы зашифрованы с помощью алгоритма RSA, а ключ дешифровки хранится на нашем сервере.
- Что это значит?
Это значит, что для дешифровки и восстановления файлов вам нужно заплатить выкуп в биткоинах. Он составляет 2 BTC или $900.
Если вы не желаете платить выкуп, то можете легко отформатировать диск, или даже удалить BadBlock (это нетрудно), но все ваши файлы будут утеряны!
- Как уплатить выкуп?
Нужно купить биткойны и передать их на этот счет: l9zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
Всего 2 биткоина, как мы говорили ранее. Вы можете использовать эту или эту ссылку, чтобы узнать, как купить биткоины.
- Что будет после уплаты выкупа?
BadBlock будет работать на вашем ПК и ждать информации о поступлении 2 BTC на указанный адрес. После получения этой информацию, он начнет дешифровку всех зашифрованных файлов. Ожидание платежа длится до 2-х часов, и только после этого начнется дешифровка файлов. Поэтому, после оплаты оставьте ПК включенным.
Потому, мы рекомендуем не пытаться удалять BadBlock и отключить на время антивирус, пока вы платите, платеж обрабатывается, BadBlock ждёт, чтобы начать дешифровку. Если ваш антивирус обновится и автоматом удалит BadBlock, то, даже если вы платили выкуп, он не сможет восстановить ваши файлы!
- Как я узнаю, что вы расшифруете мои файлы после уплаты?
Нет другого способа, чтобы восстановить файлы: только уплата выкупа. Мы по-любому не хотим хранить заблокированные файлы. Так что, просто доверьтесь нам и все будет хорошо.

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player и другими способами. 

  Впервые запустившись на компьютере BadBlock создаёт исполняемый файл со случайным именем в директориях %AppData% и %LocalAppData%. Этот исполняемый файл запускается и начинает сканирование всех дисков (от C до Z) на компьютере в поисках целевых данных для шифрования. 

Список файловых расширений, подвергающихся шифрованию:
.png, .jpeg, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .pptm, .pptx, .ppt, .xlsb, .xlsm, .xlsx, .xls, .zip, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .lbf, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .sql,  .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb,  .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb,  .xlk,  .wps...

Примечательно, что Windows 10 также подвержена атаке этого шифровальщика. 

Важные особенности BadBlock:
1) В отличие от почти всех других вымогателей инфекций, BadBlock не только шифрует свои файлы, но также шифрует исполняемые файлы на вашем ПК, в том числе важные системные файлы Windows. Это значит, когда вы перезагрузите ПК после шифрования BadBlock-а, то обнаружите, что система больше не запускается из-за того, что важные исполняемые файлы были зашифрованы, как показано на картинке ниже.

2) Большинство криптовымогателей не любят раньше времени, пока шифрование не завершено, демонстрировать свое присутствие. BadBlock же наоборот, открыто говорит жертве, что он делает в то самое время, когда это делает. см. скриншот ниже. 

 3) Так как пользователь уже будет знать, что BadBlock шифрует его файлы, то может в диспетчере задач завершить процесс badransom.exe, чтобы прервать шифрование. 

Степень распространенности: высокая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *