Flyper

Flyper Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .flyper. 

Название происходит от расширения, добавляемого к файлам или от логина в email вымогателей. 

С новой версией от 8 сентября появилось новое расширение .locked, т.е. как в базовом проекте HiddenTear. 

© Генеалогия: Hidden Tear >> Flyper

Записка с требованием выкупа называется instruction.txt и добавляется в каждую папку с зашифрованными файлами. 
Есть также html-файл instruction.html с аналогичным содержанием. 

Кроме записок о выкупе имеется ещё скринлок, встающий обоями рабочего стола, на котором имеется надпись YOU HAVE BEEN HACKED !

Содержание записки о выкупе:
Your personal files have been encrypted with strongest encryption RSA 2048 and unique key generated for this computer.
We present a decrypter software which allows to decrypt and return control to all your encrypted files.
We accept a payment with Bitcoin, there are many methods to get them.
On these sites you can buy Bitcoin
localbitcoin.com cex.io btcdirect.eu
To get KEY and Decrypter Program :
1) Send 0.5 BTC bitcoins to this address with Description your PC Computer Name
Bitcoin Address 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Contact me by email to get your key 
flyper01@sigaint.org

Перевод записки на русский язык (оригинальный стиль сохранён):
Твои личные файлы были зашифрованы с сильным шифрованием RSA 2048 и уникальным ключом, сгенерированным для этого компьютера.
Мы презентуем программу Decrypter, которая дешифрует и вернёт контроль над всеми твоими зашифрованными файлами.
Мы принимаем оплату в Bitcoin, есть много методов для их получения.
На этих сайтах ты можешь купить Bitcoin
localbitcoin.com cex.io btcdirect.eu
Для получения ключа и программы Decrypter:
1) Отправь 0,5 BTC по этому адресу с описанием твоего PC компьютерного имени
Bitcoin-адрес 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Свяжись со мной по email для получения ключа
flyper01@sigaint.org

Распространяется с помощью email-спама и вредоносных вложений.

Шифрованию в обязательном порядке подвержены папки пользователей: Документы, Загрузки, Изображения, Музыка, Видео.

Список файловых расширений, подвергающихся шифрованию:
 .3ds, .3gp, .7z, .asf, .asp, .aspx, .avi, .bak, .bat,.bmp, .cmd, .crt, .csr, .csv, .db, .dbf, .dct, .doc,.docm, .docx, .dot, .dotm, .dotx, .dwg, .fla, .flv, .gif, .gz, .html, .jpeg, .jpg,.key, .m3u, .m4u, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpeg,.mpg, .odb, .odp, .odt,.otp, .ott, .p12, .pdf, .pem, .php, .png,.png, .pot,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .psd,.rar, .rtf, .sh, .slk, .sln, .sql,.std, .sti, .stw, .swf, .sxd, .sxi,.sxw, .tar, .tbk, .tgz, .tif, .tiff,.txt, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .vstx, .vsx , .vtx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (108 расширений). Из списка было удалено 9 повторов. 

Файлы, связанные с Ransomware:
instruction.txt
instruction.html
Старый PDB: C:\Users\User_name\Desktop\hidden-tear\hidden-tear\obj\Debug\invoice.pdb
Новый PDB: C:\Users\User_name\Desktop\Invoice\HiDdEn-TeAr\obj\Debug\invoice.pdb

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 26 ноября 2016:
Расширение: .flyper
Записка: Read_Me.txt
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются.

https://twitter.com/malwrhunterteam/status/773771485643149312
https://id-ransomware.malwarehunterteam.com/
http://www.bleepingcomputer.com/forums/t/626330/kawaiilocker-ransomware-help-support-how-decrypt-filestxt/

 Thanks:
 MalwareHunterTeam
 Michael Gillespie (Demonslay335)

 

© Amigo-A (Andrew Ivanov): All blog articles.