Surprise

Surprise Ransomware 

(шифровальщик-вымогатель)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 25 биткоинов, чтобы вернуть файлы обратно. Название происходит. К зашифрованным файлам добавляется расширение .surprise или .tzu в другой версии. Активность этого криптовымогателя пришлась на март 2016 г. 

© Генеалогия: EDA2 >> Surprise 

Записки с требованием выкупа являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе. 

Содержание записки о выкупе: 
What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you don’t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Перевод записки на русский язык: 
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Невозможно дешифровать файлы без ключа.
Если файлы для вас не важны, переустановите систему.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Напишите нам на оба email-адреса, пожалуйста
Мы берём только Bitcoin, если не знаете, что это, погуглите.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
Вышлите нам 1 зашифрованный файл для дешифровки.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.

Файл DECRYPTION_HOWTO.Notepad содержит также инструкции по дешифрованию. Пользователям рекомендуется связаться с разработчиками для получения дальнейших инструкций. Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 BTC (на время исследования, что эквивалентно US $ 206,63 - US $ 10331,25). Условия выплаты обсуждаются индивидуально.

В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.

По словам эксперта компании PrivacyPC Дэвида Балабана, анализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.

 Список файловых расширений, подвергающихся шифрованию: 
 .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .ais, .amf, .amr, .amu, .amx, .ans, .ap, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bsp, .cag, .cam, .car, .cbr, .cbz, .ccd, .cch, .cd, .cdr, .cer, .cgf, .chk, .cms, .col, .crd, .crt, .cso, .ctt, .cty, .dal, .dap, .ddc, .ddcx, .dem, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .err, .euc, .evo, .faq, .fcd, .fdr, .fds, .ff, .flp, .flv, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lcd, .lcf, .ldb, .lgp, .lp2, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .msg, .msp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .png, .pot, .potx, .ppd, .ppf, .pps, .ppsx, .ppt, .pptm, .pptx, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qtq, .ra, .rar, .raw, .rev, .rgn, .rng, .rrt, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .snp, .spr, .sql, .sqx, .srt, .ssa, .stt, .stx, .sud, .svi, .svr, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .trp, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wsh, .wtd, .wtf, .wvx, .xl .xls, .xlsm, .xlsx, .xpi, .xvid, .xwd, .z02, .z04, .zap, .zip, .zipx, .zoo (343 расширения). 

 Файлы, связанные с Surprise Ransomware: 
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\Encrypted_Files.Notepad
%Desktop%\surprise.bat
%Desktop%\surprise.exe

 Сетевые подключения и связи: 
nowayout@protonmail.com
nowayout@sigaint.org
besthuk@mail.ru
viper317887@gmail.com
wearehere@sigaint.org

Обновление от 21 февраля 2017:
Email: besthuk@mail.ru viper317887@gmail.com wearehere@sigaint.org
Содержание записки: 
What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to besthuk@mail.ru ; viper317887@gmail.com ; wearehere@sigaint.org
Write your Email to ALL email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 100 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Обновление от 7 марта 2017:
Расширение: .tzu

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Ссылки:
Статья на BC