воскресенье, 12 июня 2016 г.

Apocalypse

Apocalypse Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR, а затем требует связаться с вымогателями для получения Bitcoin-адреса для оплаты. Нужно заплатить 1 биткоин, чтобы получить дешифровщик. Англоязычные пострадавшие сообщают о сумме в $100 долларов. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. Зашифрованные файлы получают расширение .encrypted. Название Apocalypse дано его разработчиками. Вымогатели из Украины. 

© Генеалогия: Apocalypse > ApocalypseVM, Dr. Jimbo, SecureCryptor, Apocalypse Unavailable, Al-Namrood и пр. 

  Записка о выкупе называется .How_To_Decrypt.txt (Как дешифровать).
Предлагаемый в записке контактный email: decryptionservice@mail.ru
Записка о выкупе и экран блокировки

Перевод записки на русский язык:
ЕСЛИ ВЫ ЧИТАЕТЕ ЭТО СООБЩЕНИЕ, ВСЕ ФАЙЛЫ В ЭТОМ КОМПЬЮТЕРЕ ЗАШИФРОВАНЫ
документы, изображения, видео, аудио, бэкапы и т.д.
ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ ДАННЫЕ, ПИШИТЕ НА ПОЧТУ.
E-MAIL: decryptionservice@mail.ru
МЫ ПРИШЛЕМ ДЕШИФРОВЩИК ДЛЯ ВОССТАНОВЛЕНИЯ ВАШИХ ФАЙЛОВ.
ЕСЛИ ВЫ НЕ ОТВЕЧАЕТЕ ДО 72 ЧАСОВ, ВСЕ ДАННЫЕ БУДУТ НАВСЕГДА ПОТЕРЯНЫ

В записке в разных версиях указаны разные email:
decryptionservice@mail.ru - в Apocalypse 
decryptservice@inbox.ru - в ApocalypseVM

  Примечательно, что записка с требованием выкупа создается для каждого зашифрованного файла. Например, если Apocalypse шифрует файл с именем test.jpg, то будет создан зашифрованный файл test.jpg.encrypted и файл-записка с именем test.jpg.encrypted.How_To_Decrypt.txt .

  Apocalypse устанавливается в C:\Program Files (x86)\windowsupdate.exe 
Прописывается в автозагрузку Windows под именем Windows Update Svc, чтобы запускаться всякий раз, когда пользователь входит в систему. После запуска он отображает экран блокировки с текстом, как в записке о выкупе. 

  При первом и последующих запусках Apocalypse будет шифровать все найденные файлы, за исключением тех, что находятся в папке Windows, и тех, которые имеют расширения: .encrypted, .dat, .bat, .bin, .ini, .tmp, .lnk, .com, .msi, .sys, .dll, .exe. 


  Когда вымогатель закончит шифрование файлов, будет отображаться экран блокировки, который блокирует доступ к рабочему столу Windows.

  Вы можете перезагрузить систему в безопасном режиме, чтобы обойти экран блокировки и запустить декриптер для дешифровки файлов.

Файл, связанный с Apocalypse Ransomware:
C:\Program Files (x86)\windowsupdate.exe

Запись реестра, связанная с Apocalypse Ransomware:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc     C:\Program Files (x86)\windowsupdate.exe


Дополнение от 18 июня 2016
Новая версия: ApocalypseVM использует VMProtect для своей защиты. 
Записка о выкупе: [filename].How_To_Get_Back.txt
Добавляемые расширения: .encrypted и .locked
Почта вымогателей: decryptionservice@inbox.ru и decryptdata@inbox.ru
Вымогатели изменили ключи шифрования.
Emsisoft выпустили декриптер для ApocalypseVM.

Дополнение от 30 июня 2016

Добавляемые расширения: .FuckYourData и .SecureCrypted
Новая записка о выкупе для каждого файла .Contact_Here_To_Recover_Your_Files.txt
Теперь шифровальщик не трогает файлы с расширением .SecureCrypted и текстовую записку .Contact_Here_To_Recover_Your_Files.txt
Подробнее >> 

Дополнение от 7 июля 2016
Добавляемое расширение: .bleepYourFiles
Новая записка о выкупе для каждого файла .Where_my_files.txt

Дополнение от 10 июля 2016

Новая версия: Apocalypse Unavailable
Добавляемое расширение: .unavailable
Новая записка о выкупе для каждого файла Read_Me.txt

Дополнение от 6 августа:

Добавляемое расширение: .Encryptedfile
Почта вымогателей: ransomware.attack@list.ru

Обновление от 4 декабря 2016:
Пост в Твиттере >>
Записка: [md5].txt (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)
Email: cryptservice@inbox.ru
Расширение: по шаблону [filename].ID-[8chars]+[countrycode]+[cryptservice@inbox.ru].[random_7_chars] (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)

Обновление от 20 декабря 2016:
Пост в Твиттере >>
Записка: [md5].txt (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)
Email: cryptcorp@inbox.ru
Расширение: по шаблону [filename].ID-[8chars]+[countrycode]+[cryptcorp@inbox.ru].[random_13_chars] (пример: 48D353168099CBAF04D6BB52FE1CDAC5G6HJC8.TXT)
иначе и короче
filename.ID-[A-F0-9]{8}+countrycode[cryptcorp@inbox.ru].[a-z0-9]{13}

Степень распространенности: высокая, включая клоны.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.
С появлением новых версий декриптеры обновляются!!!

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton