PClock3 Ransomware
PClock SuppTeam Ransomware
(шифровальщик-вымогатель)
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Как удалить? Как расшифровать? Как вернуть данные?
Информация о шифровальщике
© Генеалогия: WinMav (2015 г.) > PClock, PClock2 > PClock3 (SuppTeam)
К зашифрованным файлам никакое расширение не добавляется. Имена файлов и их расширения также не изменяются.
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Текстовые записки с требованием выкупа разбрасываются на рабочем столе и называются:
Your files are locked !.txt
Your files are locked !!.txt
Your files are locked !!!.txt
Your files are locked !!!!.txt
Your files are locked !!!!!.txt
Содержание записки о выкупе:
Support e-mail: suppteam03@india.cov suppteam03@yandex.ru
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after 120 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 0.55 Bitcoin (-393 USD)
---
Your Bitcoin address:
1JXVZ*****
You must send 0.55 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
---
The most convenient tool for buying Bitcoins in our opinion is the site:
xxxxs://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems, credit and debit cards, money orders, and others. Instruction for purchasing Bitcoins on account localbitcoins.com read here:
xxxxs://localbitcoins.com/quides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:
xxxxs://localbitcoins.com/faq#howto_buy
...
Перевод записки на русский язык ("грамота" оригинала сохранена):
Поддержка email: suppteam03@india.cov suppteam03@yandex.ru
Ваши личные файлы, подвергнутые шифрованию на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с уникальным открытым ключом RSA-2048, созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ после 120 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения секретного ключа для этого компьютера, вам нужно заплатить 0,55 Bitcoin (-393 USD)
---
Ваш Bitcoin-адрес:
1JXVZ *****
Вы должны послать 0,55 Bitcoin по указанному адресу и сообщить это на email поддержки клиентов.
В письме нужно указать свой Bitcoin-адрес, с которого был сделан платеж.
...сокращено...
В роли информатора выступают также блокировщик экрана с тремя окнами и скринлок, встающий обоями рабочего стола. Тексты немного отличаются: на экранах больше, чем в текстовой записке, на обоях меньше.
Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.
Si necesita las imágenes originales, sin marcas de agua en alta resolución, por favor en contacto con el autor del blog.
如果你需要原来的屏幕快照,无需在高分辨率水印,请联系该博客的作者。
Распространяется с помощью email-спама и вредоносных вложений, например, тема письма может называться "PLEASE READ YOUR FAX T6931" (Пожалуйста, прочтите ваш факс...), а во вложении может быть архивированный файл с кричащим названием "Criminal case against you..." (Уголовное дело против вас...), которое буквально вынуждает пользователей немедленно открыть файл.
Также PClock может распространяться с помощью эксплойтов, фальшивых обновлений известный легитимных программ, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
2630 типов файлов, это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, образы дисков, файлы бэкапов, общие сетевые папки и пр.
Файлы и папки, связанные с этим Ransomware:
%Desktop%\Your files are locked !.txt
%Desktop%\Your files are locked !!.txt
%Desktop%\Your files are locked !!!.txt
%Desktop%\Your files are locked !!!!.txt
%Desktop%\Your files are locked !!!!.txt
%AppData%\Microsoft\\Crypto\RSA\ - новый файл в папке
%ProgramData%\Microsoft\Crypto\RSA\ - новый файл в папке
%APPDATA%\Microsoft\Crypto\sysras.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nst1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Secretariate.S
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\carpetbag.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp\System.dll
C:\Users\%USERNAME%\AppData\Local\Temp\nsl7902.tmp\System.dll
Названия файлов:
CRYPLOCKER.exe - исполняемый файл
sysras.exe - исполняемый файл
tmpa4f5.exe
en_files.txt - список зашифрованных файлов
wp.jp - файл обоев
См. ниже гибридный анализ
Сетевые подключения и связи:
suppteam03@india.com suppteam03@yandex.ru
xxxx://nsis.sf.net/NSIS_Error
xxxx://blockchain.info/q/getreceivedbyaddress/
xxxxs://blockchain.info/q/24hrprice
northroadchapel.org
www.bitcoincapital.io
www.dunlark.com
www.liesandprivateeyes.com
www.supermercadoramirez.es
xxxxs://localbitcoins.com/guides/how-to-buy-
xxxxs://www.bitstamp.net/
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
и другие
Результаты анализов:
Гибридный анализ на sysras.exe >>
VirusTotal анализ на sysras.exe >>
VirusTotal анализ на carpetbag.dll >>
Степень распространённости: перспективно высокая.
Подробные сведения собираются.
Read to links: Tweet on Twitter Video review ID Ransomware (ID as PClock Updated)
Write-up on BC (add. November 18, 2016) Write-up on Technet MS (add. November 18, 2016) *
Thanks: TG Soft (VirITeXplorer) CyberSecurity GrujaRS Lawrence Abrams Michael Gillespie
© Amigo-A (Andrew Ivanov): All blog articles.
