Sanction

Sanction Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные (AES-256 + RSA-2096), а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На уплату выкупа даётся 3 суток (72 часа), после чего ключи дешифровки якобы уничтожаются. Как оказалось после анализа, каждый файл зашифрован с другим случайным паролем, который даже разработчик вредоноса не сможет ни извлечь, ни переслать себе на сервер. Шифруются файлы на всех имеющихся в системе дисках, как локальных, так и внешних. 

© Генеалогия: Hidden Tear >> Sanction

Создан на основе крипто-коструктора HiddenTear, но недоделан программно и недоработан технически. Пик распространения пришелся на февраль-март 2016. 

К зашифрованным данным добавляется расширение .sanction. Заплатившие выкуп не получили дешифровщик. Уплата выкупа бесполезна! 

 Записка о выкупе называется HOW_TO_DECRYPT.HTML. Кроме BTC-адреса и информации о биткоинах, там нет никаких контактных данных. При нажатии на кнопку "Send request for decrypt decrypt" (два слова "decrypt") открывается недействующий сайт в зоне RU. 

Перевод записки на русский язык:
Ваш уникальный GUID для дешифрования 
Отправьте мне 3 Bitcoin по адресу: 1HTeqoW6H............
После подтверждения оплаты, все ваши файлы могут быть расшифрованы. Если вы не платите 3 дня, то потеряете возможность их дешифровывать.
Как создать свой Bitcoin-кошелёк: https://www.coinbase.com или hxxp://blockchain.info
Как купить / продать и отправить Bitcoin:
URL URL URL
...

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, sln, .php, .asp, .aspx, .html, .xml, .psd...

Степень распространённости: низкая.
Подробные сведения собираются.