вторник, 27 сентября 2016 г.

Princess Locker

Princess Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3 биткоина (равны $ 1800), чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа удваивается до 6 биткоинов. Название получил от использованного логотипа Princess на сайте уплаты выкупа. Оригинальное название: Rule donkey. Разработчик: Pelican Products. 

К зашифрованным файлам добавляется случайное расширение, например, .1igw или .1cbu1. Шаблон: [4-5_random_char]. Число знаков может быть и больше, просто в примерах были 4 или 5 знаков. 

Активность этого криптовымогателя пришлась на сентябрь 2016 г. 

Записки с требованием выкупа называются:
!_HOW_TO_RESTORE_[4-5_random_char_extension].TXT
!_HOW_TO_RESTORE_[4-5_random_char_extension].html
!_HOW_TO_RESTORE_[4-5_random_char_extension].url

Содержание записки о выкупе:
Your files are encrypted!
Your ID: ***
You can unlock .1igw files using these instructions: 
1) Read decrypting instructions on our website: 
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) If you can't access these websites from your browser, you have to download TOR browser: https://www.torproject.org/projects/torbrowser.html
3) Follow this link via Tor Browser: http://6s2a2qa6sdoz4sjt.onion

Перевод записки на русский язык:
Твои файлы зашифрованы!
Твой ID: ***
Ты можешь разблокировать .1igw файлы, используя эти инструкции:
1) Прочитай инструкции дешифрования на нашем сайте:
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) Если не можешь получить доступ к этим сайтам с помощью браузера, то нужно загрузить Tor-браузер: https://www.torproject.org/projects/torbrowser.html
3) Перейди по этой ссылке в Tor-браузере: http://6s2a2qa6sdoz4sjt.onion


Сайт уплаты выкупа имеет флажки-ссылки на 12 языках, которые предлагается выбрать жертве для уплаты выкупа. Что очень похоже на сайт Cerber Ransomware. Сначала надо выбрать свой язык, затем ввести полученный ID в открывшейся странице. С несуществующим ID нужная страница не откроется. Один файл предлагают дешифровать бесплатно. 

Примечательно, что вымогатели в инструкциях по оплате используют редкий термин "fiat currency" (фиатные деньги, фиатная валюта), значение которого мало кто знает.  

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .xls, .xlsx и др.

Файлы, связанные с этим Ransomware:
!_HOW_TO_RESTORE_[extension].TXT
!_HOW_TO_RESTORE_[extension].html
!_HOW_TO_RESTORE_[extension].url
<random_name>.EXE
RxWis.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения:
myexternalip.com
6s2a2qa6sdoz4sjt.onion

cxufwls2xrlqt6ah.onion.link
103.198.0.2


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ EXE >>
VirusTotal анализ DLL >>
Symantec: Ransom.PrincessLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 16 февраля 2017:


Пост в Твиттере >>
Записка: @_USE_TO_FIX_JJnY.txt
Адрес: oat3viyjqoyqh3ck.onion
Скриншот сайта 








Обновление от 23 августа 2017:
Записка: !_HOW_TO_RESTORE_*.TXT
<< Две страницы Tor-сайта вымогателей
Tor-URL: royall6qpvndxlsj.onion
Содержание текста с сайта: 
Your files are encrypted!
Log into secure area to proceed with decrypting your personal data.
Your personal ID can be found in the text file «!_HOW_TO_RESTORE_*.TXT» which is stored on your PC.




ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер
Read to links: 
Write-up on BC
Topic on BC
ID Ransomware
Recent additions:
Write-up on Malwarebytes
*
*
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 hasherezade

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *