пятница, 1 июля 2016 г.

Unlock92

Unlock92 Ransomware (v.1-2)

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES / RSA и требует прислать на почту UNLOCK92@INDIA.COM один из зашифрованных файлов. Ответ вымогатели обещают дать в течении суток. 

© Генеалогия: Unlock92 >> Unlckr > Naampa

  Текстовой записки о выкупе нет, потому инструкция написана на русском языке на скринлоке, встающем обоями рабочего стола — файле qqq.jpg

К зашифрованным файлам добавляется расширение .CRRRT
В последующих обновлениях добавлялись другие различные расширения (см. внизу статьи в обновлениях). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .ai, .arj, .bmp, .cd, .cdr, .db, .dbf, .doc, .docx, .dwg, .epf, .jpeg, .jpg, .ldf, .max, .md, .mdb, .mdc, .mdf, .odb, .odg, .ods, .odt, .pdf, .png, .ppt, .pptx, .psd, .rar, .rtf, .tar, .tif, .xls, .xlsx, .zip (38 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<random>.exe
qqq.jpg
key.bin

Сетевые подключения и связи:
Email: UNLOCK92@INDIA.COM

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== 2016 ===

Обновление от 7 июля 2016
Новая версия: Unlock92 2.0
Новое расширение: .CCCRRRPPP
Новый скринлок: ORID.jpg
В новой версии Unlock92 2.0 вымогатели перешли на шифрование с помощью RSA-2048, закрытый ключ затем шифруется с помощью статического открытого ключа RSA. 

Обновление от 1 августа 2016 г. 

Новое расширение: .blocked
Новая записка о выкупе, текстовая: !!!!!!!!Как восстановить файлы!!!!!!!.txt 
Детект на VirusTotal >>>

Содержание записки претерпело незначительные изменения: 
Ваши файлы зашифрованы с использованием крипто-стойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт:
fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Заявление об используемом алгоритме верно. Файлы шифруются со случайным  открытым ключом RSA-2048, а закрытый ключ шифруется с помощью статического открытого ключа RSA-2048 и сохраняется как keyvalue.bin. Файлы можно дешифровать только с использованием секретного ключа преступника.

---------------

Обновление от 20 октября 2016:
Шифрование: RSA-2048
Оригинальное название: BTTP.exe
Вредоносное вложение: карта партнера.doc.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion

Обновление от 27 октября 2016:
C# версия
Оригинальное название: BCART.exe
Вредоносное вложение: pdf.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Извлеченные файлы: !!!!!!!!E !!!!!!!.txt, keyvalue.bin, BBhrpau[1].jpg

Обновление от 20 ноября 2016:
Новый файл: KSATAT.exe
Новое расширение: .kukaracha
Другие файлы: keycode.tta
Результаты анализов: VT  

Обновление от 30 ноября 2016:
Новый файл: LAMAR.exe
Новое расширение: .kukaracha
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT

Обновление от 16 декабря 2016:
Новый файл: MKEMBE.exe
Новое расширение: .kukaracha
Записка: keycode.tta
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT
=== 2017 ===

Обновление от 8 июня 2017:
Записка: !_ИНСТРУКЦИЯ_!.txt
Расширение .cr020801
Email: unlckr@protonmail.com
См. статью Unlckr Ransomware

Обновление от 18 июля 2017:
Записка: !----README----!.jpg
Расширение .crptd
Email: unlckr@protonmail.com
См. статью Naampa Ransomware.

Обновление от 2 августа 2017:
Расширение .blocked
Email: unlock92@india.com
Tor: fnjmegsn7tbrrnkl.onion
Записка: !!!!!!!!Как восстановить файлы!!!!!!!.txt
Содержание:
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Обновление от 27 сентября 2017:
Составное расширение: 29112010.xls.id-1C256E56.[decrypt.guarantee@aol.com].block
Email: decrypt.guarantee@aol.com
Тема на форуме >>

Обновление от 14 октября 2017:
Пост в Твиттере >>
Название проекта: notrad
Исполняемый файл: notrad.exe
Специальный файл: ktw.sas
Email: unlckr@protonmail.com
TOR: n3r2kuzhw2h7x6j5.onion
Результаты анализов: VT
См. также статью Unlckr Ransomware

Обновление от 26 ноября 2017 года:
Расширение: .MAY3321LTO
Файлы: %AppData%\<random4>.exe
Пример темы на форуме >>

=== 2018 ===

Обновление от 3 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла qtekaadhxdli.jpg
Email: un92@protonmail.com
Tor-URL: xxxx://n3r2kuzhw2h7x6j5.onion
Топик на форуме >>
Скриншот записки >> 


Обновление от 15 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла jlocagtsclm.jpg
Добавляется в автозагрузку системы:
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jlocagtsclm.jpg
Email: un92@protonmail.com
Записка на картинке как в обновлении от 3 мая 2018. 
Топик на форуме >>


Обновление от 21 мая 2018:
Пост в Твиттере >>
Видеообзор >>
Расширение: .cdrpt
Email: un92@protonmail.com
Tor-URL: n3r2kuzhw2h7x6j5.onion/
Файл: onastt.exe
Скриншот записки о выкупе (картинка на Рабочем столе) и новый email. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!!! 
Для зашифрованных файлов 1-й версии Unlock92 есть декриптер.
Скачать Unlock92 Decrypter для 1-й версии Unlock92 >>
Увы... Для зашифрованных файлов 2-й и новых версий Unlock92 нет декриптера. Файлы 
шифруются с помощью генерируемого случайным образом открытого ключа RSA-2048, а 
закрытый ключ шифруется статическим открытым ключом RSA-2048 и сохраняется как 
keyvalue.bin. Файлы могут быть дешифрованы только с использованием секретного 
ключа злоумышленника.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (Unlock92 и Unlock92 2.0)
 Write-up, Topic of Support 
Если вы пострадали от 2-й или более новой версии шифровальщика, 
то обращайтесь на форум BleepingComputer (см. ссылку Topic of Support). 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.

Remove Unlock92 Decrypt Unlock92 Decode Restore files Recovery data Удалить Unlock92 Дешифровать Расшифровать Восстановить файлы

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton