FenixLocker Ransomware
FenixLocker 2.0 Ransomware
FenixLocker NextGen
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью SHA256/AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum.
В новой версии, которую мы назвали FenixLocker 2.0, изменен алгоритм шифрования. Подробнее читайте после основной статьи.
К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".
Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt
Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***
Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP.
Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла.
Список файловых расширений, подвергающихся шифрованию:
Нет данных. Это могут документы, изображения в первую очередь.
Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: средняя.
Подробные сведения собираются.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
FenixLocker Ransomware
FenixLocker 2.0 Ransomware
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 14 декабря 2016
Пост в Твиттере >>
Расширение: .thedon78@mail.com!!
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Результаты анализов: VT, HA
=== 2019 ===
FenixLocker 2.0
FenixLocker NextGen
FenixLocker NextGen
Изменен алгоритм шифрования. Теперь используется модифицированный TEA + RSA
Теперь файлы нет возможности дешифровать. Только у вымогателей есть закрытый ключ RSA.
По сообщению Майкла Джиллеспи >>
Обновление от 15 декабря 2019:
Пост в Твиттере >>
Расширение: .jundmd@cock.li!!
Email: jundmd@cock.li
Записка: Help to decrypt.txt
All of your files are encrypted, to decrypt them write me to email : jundmd@cock.li
Your key: ***
Файлы EXE: acrobac.exe, hert.exe, yedepagu.exe
Результаты анализов: VT + HA + IA + VT + HA + IA
Обновление от 5 февраля 2019:
Расширение: .tuki17@qq.com!!
Email: tuki17@qq.com, tuki17@cock.li
Записка: Help to decrypt.txt
Извлекает множество файлов (2000).
Результаты анализов: VT + HA
Результаты анализа зашифрованных файлов >>
Обновление от 14 февраля 2019:
Топик на форуме >>
Расширение: .help24decrypt@qq.com!!
Email: help24decrypt@qq.com
Записка: Help to decrypt.txt
➤ Содержание записки:
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@qq.com
Your key:
d1a3b4c7fd53a159982d2340e75bc2bb0089dbba1e6383d34633facdce0ec4***
Обновления февраля 2019 (без точной даты):
Расширение: .help4decrypt@india.com!!
Email: help4decrypt@india.com
Записка: Help to decrypt.txt
Содержание: видимо как в предыдущих вариантах.
Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .help24decrypt@cock.li!!
Email: help24decrypt@cock.li
Записка: Help to decrypt.txt
➤ Содержание записки:
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@cock.li
Your key:
c2bb082d2340a1e6383d346089dbb33facdce0ec4***
Обновление от 8 мая 2019:
Расширение: .de-crypt@foxmail.com.mz
Email: de-crypt@foxmail.com
Записка: key to decrypt7.txt
➤ Содержание записки на одном из ПК корпоративной сети:
All of _our files are encr_pted* to decr_pt them write me to email::de-crypt@foxmail.com
Key:
089a46168a0b3fd65e1d34f0d9380fac9e61c713e16564b7f1ad6bb438ff2c
***
Скриншот, полученный с серверного ПК корпоративной сети.
Email: decr_pt24@qq.com, requ_recov@foxmail.com, help_recov@qq.com
Telegram ID: @decrypt24
Обновление от 31 мая 2019:
Топик на форуме >>
Расширение: .cryfixfoo@qq.com !!
Email: cryfixfoo@qq.com
➤ Содержание записки:
All of _our files are encr_pted* to decr_pt them write me to email : cryfixfoo@qq.com
Your key: ***
Расширение: .tuki17@qq.com!!
Email: tuki17@qq.com, tuki17@cock.li
Записка: Help to decrypt.txt
Результаты анализов: VT + HA
Результаты анализа зашифрованных файлов >>
Обновление от 14 февраля 2019:
Топик на форуме >>
Расширение: .help24decrypt@qq.com!!
Email: help24decrypt@qq.com
Записка: Help to decrypt.txt
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@qq.com
Your key:
d1a3b4c7fd53a159982d2340e75bc2bb0089dbba1e6383d34633facdce0ec4***
Обновления февраля 2019 (без точной даты):
Расширение: .help4decrypt@india.com!!
Email: help4decrypt@india.com
Записка: Help to decrypt.txt
Содержание: видимо как в предыдущих вариантах.
Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .help24decrypt@cock.li!!
Email: help24decrypt@cock.li
Записка: Help to decrypt.txt
➤ Содержание записки:
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@cock.li
Your key:
c2bb082d2340a1e6383d346089dbb33facdce0ec4***
Обновление от 8 мая 2019:
Расширение: .de-crypt@foxmail.com.mz
Email: de-crypt@foxmail.com
Записка: key to decrypt7.txt
All of _our files are encr_pted* to decr_pt them write me to email::de-crypt@foxmail.com
Key:
089a46168a0b3fd65e1d34f0d9380fac9e61c713e16564b7f1ad6bb438ff2c
***
Telegram ID: @decrypt24
Обновление от 31 мая 2019:
Топик на форуме >>
Расширение: .cryfixfoo@qq.com !!
Email: cryfixfoo@qq.com
➤ Содержание записки:
All of _our files are encr_pted* to decr_pt them write me to email : cryfixfoo@qq.com
Your key: ***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть дешифровщик! Скачать FenixLocker Decrypter >> Инструкции и рекомендации прилагаются. * Для FenixLocker 2.0 нужен другой дешифровщик.
Decrypter for Fenixlocker ID Ransomware (ID as FenixLocker, FenixLocker 2.0) Topic on BC
Thanks: Fabian Wosar, Michael Gillespie, Karsten Hahn Andrew Ivanov, GrujaRS, Emmanuel_ADC-Soft quietman7, BleepingComputer *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.