воскресенье, 17 января 2016 г.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u
Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard


Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:
ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe


Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***


Степень распространённости: средняя. 
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up (n/a), Topic of Support, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton