пятница, 1 июля 2016 г.

Unlock92

Unlock92 Ransomware (v.1-2)

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES / RSA и требует прислать на почту UNLOCK92@INDIA.COM один из зашифрованных файлов. Ответ вымогатели обещают дать в течении суток. 

© Генеалогия: Unlock92 >> Unlckr > Naampa > Unlock92 Zipper
Изображение - логотип статьи.
Image is the logo of the article.

К зашифрованным файлам добавляется расширение .CRRRT

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Текстовой записки о выкупе в этой версии нет, потому инструкция написана на русском языке на изображении, встающем обоями Рабочего стола — файле qqq.jpg

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
Если вы хотите их восстановить то отправьте один из пострадавших файлов и файл Key.bin (из любой папки с зашифрованными файлами) на e-mail: UNLOCK92@INDIA.COM
Если вы не получили ответа в течение суток то скачайте с сайта https://www.torproject.org/download/download-easy.html.en
TOR браузер и зайдите с его помощью на сайт http://fnjmegsn7tbrrnkl.onion - там будет указан действующий
почтовый ящик.
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче!




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .ai, .arj, .bmp, .cd, .cdr, .db, .dbf, .doc, .docx, .dwg, .epf, .jpeg, .jpg, .ldf, .max, .md, .mdb, .mdc, .mdf, .odb, .odg, .ods, .odt, .pdf, .png, .ppt, .pptx, .psd, .rar, .rtf, .tar, .tif, .xls, .xlsx, .zip (38 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<random>.exe
qqq.jpg
key.bin

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: UNLOCK92@INDIA.COM
Tor-URL: xxxx://fnjmegsn7tbrrnkl.onion

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== 2016 ===
Обновление от 7 июля 2016
Новая версия: Unlock92 2.0
Новое расширение: .CCCRRRPPP
Новый скринлок: ORID.jpg
В новой версии Unlock92 2.0 вымогатели перешли на шифрование с помощью RSA-2048, закрытый ключ затем шифруется с помощью статического открытого ключа RSA. 

Обновление от 1 августа 2016 г. 

Новое расширение: .blocked
Новая записка о выкупе, текстовая: !!!!!!!!Как восстановить файлы!!!!!!!.txt 
Детект на VirusTotal >>>

Содержание записки претерпело незначительные изменения: 
Ваши файлы зашифрованы с использованием крипто-стойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт:
fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Заявление об используемом алгоритме верно. Файлы шифруются со случайным  открытым ключом RSA-2048, а закрытый ключ шифруется с помощью статического открытого ключа RSA-2048 и сохраняется как keyvalue.bin. Файлы можно дешифровать только с использованием секретного ключа преступника.

---------------

Обновление от 20 октября 2016:
Шифрование: RSA-2048
Оригинальное название: BTTP.exe
Вредоносное вложение: карта партнера.doc.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion

Обновление от 27 октября 2016:
C# версия
Оригинальное название: BCART.exe
Вредоносное вложение: pdf.exe
Результаты анализов: HAVT
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Извлеченные файлы: !!!!!!!!E !!!!!!!.txt, keyvalue.bin, BBhrpau[1].jpg

Обновление от 20 ноября 2016:
Новый файл: KSATAT.exe
Новое расширение: .kukaracha
Другие файлы: keycode.tta
Результаты анализов: VT  

Обновление от 30 ноября 2016:
Новый файл: LAMAR.exe
Новое расширение: .kukaracha
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT

Обновление от 16 декабря 2016:
Новый файл: MKEMBE.exe
Новое расширение: .kukaracha
Записка: keycode.tta
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT
=== 2017 ===

Обновление от 8 июня 2017:
Записка: !_ИНСТРУКЦИЯ_!.txt
Расширение .cr020801
Email: unlckr@protonmail.com
См. статью Unlckr Ransomware

Обновление от 18 июля 2017:
Записка: !----README----!.jpg
Расширение .crptd
Email: unlckr@protonmail.com
См. статью Naampa Ransomware.

Обновление от 2 августа 2017:
Расширение .blocked
Email: unlock92@india.com
Tor: fnjmegsn7tbrrnkl.onion
Записка: !!!!!!!!Как восстановить файлы!!!!!!!.txt
Содержание:
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Обновление от 27 сентября 2017:
Составное расширение: 29112010.xls.id-1C256E56.[decrypt.guarantee@aol.com].block
Email: decrypt.guarantee@aol.com
Тема на форуме >>

Обновление от 14 октября 2017:
Пост в Твиттере >>
Название проекта: notrad
Исполняемый файл: notrad.exe
Специальный файл: ktw.sas
Email: unlckr@protonmail.com
TOR: n3r2kuzhw2h7x6j5.onion
Результаты анализов: VT
См. также статью Unlckr Ransomware

Обновление от 26 ноября 2017 года:
Расширение: .MAY3321LTO
Файлы: %AppData%\<random4>.exe
Пример темы на форуме >>

=== 2018 ===

Обновление от 3 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла qtekaadhxdli.jpg
Email: un92@protonmail.com
Tor-URL: xxxx://n3r2kuzhw2h7x6j5.onion
Топик на форуме >>
Скриншот записки >> 


Обновление от 15 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла jlocagtsclm.jpg
Добавляется в автозагрузку системы:
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jlocagtsclm.jpg
Email: un92@protonmail.com
Записка на картинке как в обновлении от 3 мая 2018. 
Топик на форуме >>


Обновление от 21 мая 2018:
Пост в Твиттере >>
Видеообзор >>
Расширение: .cdrpt
Email: un92@protonmail.com
Tor-URL: n3r2kuzhw2h7x6j5.onion/
Файл: onastt.exe
Скриншот записки о выкупе (картинка на Рабочем столе) и новый email. 


Обновление от 1 октября 2018:

Пост в Твиттере >>
Расширение: .<random>@LOCKED
Пример зашифрованного файла: Ведомость.s23bn30@LOCKED
Email: unk921@protonmail.com
URL: http://n3r2kuzhw2hx6j5.onion
https://n3r2kuzhw2h7x6j5.tor2web.io/
Записка: <random>.txt - в названии случайные символы, например: tfjmabjodqkb.txt
➤ Содержание записки: 
Ваши файлы зашифрованы.
Если хотите их вернуть отправьте один из зашифрованных файлов на e-mail: unk921@protonmail.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер  TOR
и с его помощью зайдите на сайт: http://n3r2kuzhw2hx6j5.onion (https://n3r2kuzhw2h7x6j5.tor2web.io/
- с любого другого браузера без использования TOR)
-  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
Your files have been encrypted.
If you want to restore files, send one more file us to the e-mail: unk921@protonmail.com
Only in case you do not receive a response from the first email address
withit 24 hours, please use use TOR browser from www.torproject.com and see current
e-mail in http://n3r2kuzhw2hx6j5.onion (https://n3r2kuzhw2h7x6j5.tor2web.io/ - from any other browser w/o using a TOR)
Using another tools could corrupt your files, in case of using third party
software we dont give guarantees that full recovery is possible so use it on your own risk.
Скриншот с действующим email



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!!! 
Для зашифрованных файлов 1-й версии Unlock92 есть декриптер.
Скачать Unlock92 Decrypter для 1-й версии Unlock92 >>
Увы... Для зашифрованных файлов 2-й и новых версий Unlock92 нет декриптера. Файлы 
шифруются с помощью генерируемого случайным образом открытого ключа RSA-2048, а 
закрытый ключ шифруется статическим открытым ключом RSA-2048 и сохраняется как 
keyvalue.bin. Файлы могут быть дешифрованы только с использованием секретного 
ключа злоумышленника.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (Unlock92 и Unlock92 2.0)
 Write-up, Topic of Support 
Если вы пострадали от 2-й или более новой версии шифровальщика, 
то обращайтесь на форум BleepingComputer (см. ссылку Topic of Support). 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.

Remove Unlock92 Decrypt Unlock92 Decode Restore files Recovery data Удалить Unlock92 Дешифровать Расшифровать Восстановить файлы

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton