BTCLocker Ransomware
BTC Ransomware
(шифровальщик-вымогатель)
© Генеалогия: Radamant > BTCLocker
К зашифрованным файлам добавляется расширение .BTC.
Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html
Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible:
zikr@protonmail.com
zikra@protonmail.com
zikr@usa.com
Привет!
Для возвращения вашего ПК данных вам нужно связаться с нами по email как можно скорее:
zikr@protonmail.com
zikr@protonmail.com
zikr@usa.com
Диалог декриптера:
Now begins the decryption of your files!
Do not turn off the power and turn on the carriers that have been encrypted!
When you're ready, click "OK".
Перевод на русский:
Сейчас начнётся дешифрование файлов!
Не выключайте питание и подключите носители, которые были зашифрованы!
Когда будете готовы, жмите "OK".
Распространяется с помощью email-спама и вредоносных вложений, в том числе PDF-документов с иконкой Adobe, а также фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
После шифрования удаляются тома теневых копий файлов.
Список файловых расширений, подвергающихся шифрованию:
.2015, .3fr,
.500, .7z, .accdb, .ai, .apk, .arch00, .arw, .asc, .asset, .avi, .bar, .bay, .bc6,
.bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cr2,
.crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc,
.dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .ebc, .ebq, .epb, .epk, .eps, .erf,
.esm, .ets, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpc, .hkdb, .hkx,
.hplg, .hvpl, .ibank, .icxs, .IIF, .indd, .itdb, .itf, .itl, .itm, .iwd, .iwi,
.jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .lgb, .litemod, .lrf, .ltx,
.lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu,
.mlx, .mov, .mp4, .mpqge, .mrwref, .mye, .myox, .mysql, .ncf, .nd, .nrw, .ntl,
.odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf,
.pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptb, .ptx,
.py, .qba, .qbatlg, .qbb, .qbm, .qbo, .qbw, .qbx, .qby, .qdf, .qdf, .qfx, .qic,
.qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl,
.sai, .saj, .sav, .sb, .sdb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2,
.srf, .srw, .sum, .svg, .syncdb, .t11, .t12, .t13, .t14, .t15, .tax, .tax2013,
.tax2014, .tax2015, .tax2016, .tlg, .tor, .tt14, .tt15, .tt16, .txf, .txt, .upk,
.vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv,
.wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip,
.ztmp, (230+ расширений).
Файлы, связанные с BTCLocker Ransomware:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html
%USERPROFILE%\AppData\<random_name>.exe
%ALLUSERSPROFILE%\<random_name>.exe
%PROGRAMFILES%\<random_name>.exe
%WINDIR%\<random_name>.exe
%Temp%\<random_name>.tmp
%AppData%\wallpaper.wall
%WINDIR%\System32\key.public
%WINDIR%\System32\key.private
Записи реестра, связанные с BTCLocker Ransomware:
См. ниже гибридный анализ.
Сетевые подключения:
172.81.176.146
190.10.8.128
81.2.237.32
См. ниже гибридный анализ.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Обновление от 22 февраля 2017:
Пост в Твиттере >>
Email: gelar@protonmail.com и gelarx@protonmail.com
Записка: BTC_DECRYPT_FILES.txt
Расширение: .BTC
Фальш-имя: Animated
Результаты анализов: VT
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter ID Ransomware *
Thanks: Michael Gillespie Karsten Hahn *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.