понедельник, 19 сентября 2016 г.

FenixLocker, FenixLocker 2.0

FenixLocker Ransomware 

FenixLocker 2.0 Ransomware 

FenixLocker NextGen

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью SHA256/AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum

В новой версии, которую мы назвали FenixLocker 2.0, изменен алгоритм шифрования. Подробнее читайте после основной статьи. 


К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".

Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***

Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP. 

Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла. 
Спасибо Фабиану Восару за эту подробность

Список файловых расширений, подвергающихся шифрованию:
Нет данных. Это могут документы, изображения в первую очередь. 

Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


FenixLocker Ransomware 
FenixLocker 2.0 Ransomware 




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 декабря 2016
Пост в Твиттере >>
Расширение: .thedon78@mail.com!!
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Результаты анализов: VT, HA


=== 2019 ===


FenixLocker 2.0
FenixLocker NextGen

Изменен алгоритм шифрования. Теперь используется модифицированный TEA + RSA
Теперь файлы нет возможности дешифровать. Только у вымогателей есть закрытый ключ RSA. 
По сообщению Майкла Джиллеспи >>

Обновление от 15 декабря 2019:
Пост в Твиттере >>
Расширение: .jundmd@cock.li!!
Email: jundmd@cock.li
Записка: Help to decrypt.txt
➤ Содержание записки: 
All of your files are encrypted, to decrypt them write me to email : jundmd@cock.li
Your key: ***
Файлы EXE: acrobac.exe, hert.exe, yedepagu.exe
Результаты анализов: VT + HA + IAVT + HA + IA

Обновление от 5 февраля 2019:
Расширение: .tuki17@qq.com!!
Email: tuki17@qq.com, tuki17@cock.li
Записка: Help to decrypt.txt
Извлекает множество файлов (2000). 
Результаты анализов: VT + HA
Результаты анализа зашифрованных файлов >>

Обновление от 14 февраля 2019:
Топик на форуме >>
Расширение: .help24decrypt@qq.com!!
Email: help24decrypt@qq.com
Записка: Help to decrypt.txt 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@qq.com 
Your key:
d1a3b4c7fd53a159982d2340e75bc2bb0089dbba1e6383d34633facdce0ec4***

Обновления февраля 2019 (без точной даты):
Расширение: .help4decrypt@india.com!!
Email: help4decrypt@india.com 
Записка: Help to decrypt.txt 
Содержание: видимо как в предыдущих вариантах. 

Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .help24decrypt@cock.li!!
Email: help24decrypt@cock.li 
Записка: Help to decrypt.txt 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@cock.li
Your key:
c2bb082d2340a1e6383d346089dbb33facdce0ec4***

Обновление от 8 мая 2019:
Расширение: .de-crypt@foxmail.com.mz
Email: de-crypt@foxmail.com
Записка: key to decrypt7.txt
➤ Содержание записки на одном из ПК корпоративной сети: 
All of _our files are encr_pted* to decr_pt them write me to email::de-crypt@foxmail.com  
Key:     
089a46168a0b3fd65e1d34f0d9380fac9e61c713e16564b7f1ad6bb438ff2c
***
Скриншот, полученный с серверного ПК корпоративной сети. 
Email: decr_pt24@qq.com, requ_recov@foxmail.com, help_recov@qq.com
Telegram ID: @decrypt24

Обновление от 31 мая 2019:
Топик на форуме >>
Расширение: .cryfixfoo@qq.com !!
Email: cryfixfoo@qq.com 
 Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : cryfixfoo@qq.com 
Your key: ***



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Скачать FenixLocker Decrypter >>
Инструкции и рекомендации прилагаются. 
*
Для FenixLocker 2.0 нужен другой дешифровщик. 
Decrypter for Fenixlocker
ID Ransomware (ID as FenixLocker, FenixLocker 2.0)
Topic on BC
 Thanks:
 Fabian Wosar, Michael Gillespie, Karsten Hahn
 Andrew Ivanov, GrujaRS, Emmanuel_ADC-Soft
 quietman7, BleepingComputer
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton