четверг, 2 июня 2016 г.

SilentShade

SilentShade Ransomware 

(BlackShades Crypter) 

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA-4096), а затем требует выкуп в 0.07 BTC ($30), чтобы вернуть файлы обратно. Срок уплаты выкупа - 96 часов. Зашифрованные файлы получают расширение .silent. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  SilentShade удаляет теневые копии файлов,  добавляет себя в автозагрузку Windows, отключает диспетчер задач и восстановление системы. Может работать как процесс "win.exe". Может распространяться как поддельное видео, поддельные краки и патчи. 

  Записки с требованием выкупа называются   Hacked_Read_me_to_decrypt_files.Html и Hacked.txt. Также создаются и размещаются в папках с зашифрованными данными файлы "YourID.txt" и "Ваш идентификатор", содержащие ID жертвы, который затем нужно предоставить вымогателям. В записке о выкупе создатели криптовымогателя именуют его BlackShades Crypter. Отсюда второе название в заголовке статьи. 
 
1-й вариант HTML-записки
2-й вариант HTML-записки
Записка Hacked.txt

Примечательно, что получены два варианта html-записки о выкупе. Порядок текста немного отличается, но суть та же. 

Оригинальное двуязычное содержание 1-го варианта записки о выкупе: 

You have been struck with Black Shades
All of your files were protected by a strong encryption with RSA-4096

What is RSA-4096?
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Your files will be enqrypted for your life So Dont Wait so long To Restore your files Because YOU CANNOT!!
You Need to Folow One of this Steps:
- Visit this website > http://daftoraytg.com/ and folow the steps to decrypt your files
- Send 30$ = 0.0700 Bitcoin to this Account > 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx and then contact silentshades@protonmail.com ...

Why is RSA-4096 dangerous?
After RSA-4096 sneaks into your system, without you even realizing it, it goes to work.
It begins the encryption process and cloaks everything you have stored on your computer. Every file, every photo, every video, music, documents, nothing, is safe.
The infection encrypts everything. You still see it, but you cannot open it. That’s its play. It keeps it right in your reach but doesn’t allow you to access it.

Please note:
- 100% you will have your all files Back ) if you will follow the steps 1 or 2
- After (96) hours the key to decrypt your files will be deleted from our database
After you finshed 1 of your steps open the decrypter porgram and restore your all files wich we will sended to you after our deal
- You can find the ID Detals in [/Desktop or /Downloads or /Documents] folder.
===========================

Ваш компьютер поражен Black Shades
Все файлы были зашифрованы с сильным шифрованием RSA-4096.

Что такое RSA-4096?
Более подробную информацию о даннном типе шифрования с использованием RSA-4096 можно найти здесь: https://ru.wikipedia.org/wiki/RSA
Ваши файлы будут зашифрованы для вашей жизни Так что не так долго ждать
чтобы восстановить ваши файлы вам нужно сделать следующее >
- Посетите этот сайт http://daftoraytg.com/  Для дешифрования файлов
- отправить 30 $ = 0,0700 Bitcoin на этот Счет >> 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx, а затем свяжитесь по этому адресу silentshades@protonmail.com

Почему RSA-4096 опасно?
После того, как RSA-4096 пробирается в вашу систему начинается процесс шифрования и маскирует все, что вы сохранили на вашем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы вирус шифрует все кроме системных файлов. вы не можете открыть или восстановить ваши данные! Он держит их в вашей досягаемости, но не позволяет получить к ним доступа.

ПРИМЕЧАНИЕ
- 100% вы будете иметь все ваши файлы обратно, если вы выполните 1 или 2 условие
- В течении (96) часов ключи для расшифровки файлов будут удалены из нашей базы данных
- После того как вы сделали то что от вас требуется, Откройте Decrypter его вы получите на указанном выше сайте. после вам нужно вставить свой id и порграмма восстановит все файлы
- ID Подробности (вы найдете его на [/ Desktop или / Загрузка или / Documents] )
============================

Оригинальное содержание так называемого "русского" текста записки сохранено полностью. 
Делегирование домена daftoraytg.com, указанного в тексте о выкупе, уже приостановлено. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .7z, .aac, .AAC, .ach, .ai, .apk, .ar, .arw, .asf, .asp, .asx, .avi, .AVI, .back, .bak, .bay, .bz2, .c, .cdr, .cer, .cpp, .cr2, .crt, .crw, .cs, .cs, .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, .iif, .indd, .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .mrw, .msg, .myo, .nd, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .PC1, .PC2, .PC3, .pct, .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx (всего 195 расширений). 

Перед запуском процесса шифрования BlackShades определяет IP-адрес пользователя, обращаясь к сайту http://icanhazip.com, а чтобы проверить соединение с Интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно отредактировать файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если криптовымогатель не сможет соединиться с icanhazip.com, то аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа это шифровальщика прервется, не успев начаться.

Файлы, связанные с BlackShades Crypter Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hacked_Read_me_to_decrypt_files.Html
%UserProfile%\AppData\Roaming\Windows\win.exe
YourID.txt
Ваш идентификатор
Hacked_Read_me_to_decrypt_files.Html

Записи реестра, связанные с BlackShades Crypter Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Driver"="%UserProfile%\AppData\Roaming\Windows\win.exe" /autostart"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize "DisableSR" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Степень распространённости: не определена. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *