вторник, 22 марта 2016 г.

Surprise

Surprise Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 25 биткоинов, чтобы вернуть файлы обратно. Название происходит. К зашифрованным файлам добавляется расширение .surprise или .tzu в другой версии. Активность этого криптовымогателя пришлась на март 2016 г. 

© Генеалогия: EDA2 >> Surprise 

Записки с требованием выкупа являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе. 

Содержание записки о выкупе: 
What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you don’t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Перевод записки на русский язык: 
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Невозможно дешифровать файлы без ключа.
Если файлы для вас не важны, переустановите систему.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Напишите нам на оба email-адреса, пожалуйста
Мы берём только Bitcoin, если не знаете, что это, погуглите.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
Вышлите нам 1 зашифрованный файл для дешифровки.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.

Файл DECRYPTION_HOWTO.Notepad содержит также инструкции по дешифрованию. Пользователям рекомендуется связаться с разработчиками для получения дальнейших инструкций. Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 BTC (на время исследования, что эквивалентно US $ 206,63 - US $ 10331,25). Условия выплаты обсуждаются индивидуально.

В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.

По словам эксперта компании PrivacyPC Дэвида Балабана, анализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.

 Список файловых расширений, подвергающихся шифрованию: 
 .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .ais, .amf, .amr, .amu, .amx, .ans, .ap, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bsp, .cag, .cam, .car, .cbr, .cbz, .ccd, .cch, .cd, .cdr, .cer, .cgf, .chk, .cms, .col, .crd, .crt, .cso, .ctt, .cty, .dal, .dap, .ddc, .ddcx, .dem, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .err, .euc, .evo, .faq, .fcd, .fdr, .fds, .ff, .flp, .flv, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lcd, .lcf, .ldb, .lgp, .lp2, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .msg, .msp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .png, .pot, .potx, .ppd, .ppf, .pps, .ppsx, .ppt, .pptm, .pptx, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qtq, .ra, .rar, .raw, .rev, .rgn, .rng, .rrt, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .snp, .spr, .sql, .sqx, .srt, .ssa, .stt, .stx, .sud, .svi, .svr, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .trp, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wsh, .wtd, .wtf, .wvx, .xl .xls, .xlsm, .xlsx, .xpi, .xvid, .xwd, .z02, .z04, .zap, .zip, .zipx, .zoo (343 расширения). 

 Файлы, связанные с Surprise Ransomware: 
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\Encrypted_Files.Notepad
%Desktop%\surprise.bat
%Desktop%\surprise.exe

 Сетевые подключения и связи: 
nowayout@protonmail.com
nowayout@sigaint.org
besthuk@mail.ru
viper317887@gmail.com
wearehere@sigaint.org

Обновление от 21 февраля 2017:
Email: besthuk@mail.ru viper317887@gmail.com wearehere@sigaint.org
Содержание записки: 
What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to besthuk@mail.ru ; viper317887@gmail.com ; wearehere@sigaint.org
Write your Email to ALL email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 100 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Обновление от 7 марта 2017:
Расширение: .tzu

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Ссылки:
Статья на BC

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton