суббота, 15 октября 2016 г.

AiraCrop

AiraCrop Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от части добавляемого расширения. Создан: TeamXRat. Португалоязычная версия более известна под названием NMoreira (Fake Maktub) Ransomware

© Генеалогия: XRat  > NMoreira ⇔ AiraCrop
© Генеалогия: NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляются расширения: 
.airacropencrypted! (середина октября 2016)
.__AiraCropEncrypted! (октябрь 2016)
._AiraCropEncrypted (ноябрь 2016)

Оригинальное имя файла и расширения не изменяются. 
Пример зашифрованного файла Документы.rar.__AiraCropEncrypted! 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: How to decrypt your files.txt

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files visit one of the link and enter your key;
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Alternative link:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
To access the alternate link is mandatory to use the TOR browser available on the link
xxxxs://www.torproject.org/download/download
Key:
D0809D7FF155EDB51834550***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. С помощью шифрования AES256-бит и RSA-2048-бит.
Потому невозможно восстановить файлы без правильного секретного ключа.
Если вы заинтересованы в получении ключа, то посетите одну из ссылок и введите ключ.
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Альтернативная ссылка:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
Для доступа к альтернативной ссылке используйте Tor-браузер, доступный по ссылке
xxxxs://www.torproject.org/download/download
Ключ:
D0809D7FF155EDB51834550 ***

В некоторых вариантах записок упоминается email вымогателей: airacrop@vpn.tg, который также есть на Tor-сайте вымогателей. 

Вот другой вариант записки с email и его перевод на русский язык.

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted, using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files
For information on how to reverse the file encryption
send email to:
airacrop@vpn.tg
enter your KEY in the subject or email body.
=====
Remember your email is not answered within 24 hours,
visit one of the link below to get a new mail contact
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Alternative link:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
To access the alternate link is mandatory to use the TOR browser available on the link
https://www.torproject.org/down!oad/down1oad
Key:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B
=====

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы, используя шифрование AES256-bit и RSA-2048-бит.
Невозможно восстановить файлы без правильного закрытого ключа.
Если вы интересуетесь получением этого ключа и возврате файлов
Для информации о том, как отменить шифрование файлов
отправьте письмо по адресу:
airacrop@vpn.tg
введите свой КЛЮЧ в тему или адрес электронной почты.
=====
Помните, что на ваш email нет ответа в течение 24 часов,
посетите одну из приведенных ниже ссылок, чтобы получить новый почтовый контакт
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Альтернативная ссылка:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
Для доступа к альтернативной ссылке нужно использовать TOR-браузер, доступный по ссылке
https://www.torproject.org/down!oad/down1oad
Ключ:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B

=====


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .bmp, .cat, .chm, .csv, .dat, .db, .DeskLink, .doc, .gif, .gitignore, .h, .ico, .inf, .jpg, .lic, .log, .MAPIMail, .ppt, .py, .pyc, .pyd, .pyo, .sam, .shw, .sst, .sys, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpl, .xls, .xml, .ZFSendToTarget ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с AiraCrop Ransomware:
How to decrypt your files.txt - в разных директориях
<random>.exe - случайное название файла
<random> - случайное название файла без расширения

Записи реестра, связанные с AiraCrop Ransomware:
***

Сетевые подключения:
Email: airacrop@vpn.tgTor-URLs: xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxx://6kaqkavhpu5dln6x.onion
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
xxxx://mvy3kbqc4adhosdy.onion
xxxxs://qsx72kun2efdcli2.onion.to/
xxxxs://qsx72kun2efdeli2.onion.link/
xxxx://qsx72kun2efdeli2.onion



Результаты анализов:
VirusTotal анализ >> + VT >>


Степень распространённости: средняя.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для AiraCrop (NMoreira v.1) >>
Внимательно прочтите инструкцию перед запуском. 
*
Read to links: 
ID Ransomware (ID as NMoreira)
Topic on BC
 Thanks: 
 Michael Gillespie 
 al1963
 xXToffeeXx
 Fabian Wosar

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton