четверг, 8 декабря 2016 г.

FLKR

FLKR Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы блоками по 512 байт с помощью Blowfish, а затем требует связаться по email или jabber, для получения инструкций по расшифровке. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение _morf56@meta.ua_
Оригинальные имена и расширения не изменяются. 

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных или русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INSTRUCT.txt

Содержание записки о выкупе:
Information is encrypted with a strong password. 
To decrypt it e-mail: morf56@meta.ua for instructions. 
Reserve communication channel - this jabber: fhmjfjf@default.rs 
Use jabber only when conversation via email is not possible

Перевод записки на русский язык:
Информация зашифрована с сильным паролем.
Для расшифровки e-mail: morf56@meta.ua для инструкций.
Резервный канал связи - это jabber: fhmjfjf@default.rs
Используй jabber только если связь по email невозможна

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.: .dat, .dll, .doc, .docx, .exe, .pdf, .xls, .xlsx и многие другие.

При шифровании пропускаются файлы в папках: 
Windows, Program files, Program files (x86)
System volume information
Documents and settings, Users
Install, Music, Intel, adfs, cpqsystem

Пропускаются файлы следующих типов: 
.txt, .mp3, .avi

Удаляются файлы без шифрования файлы типов:
.bak, .tib 

Файлы, связанные с этим Ransomware:
flkr.exe - основной исполняемый файл
C:\cpqsystem\rel1711\flkr.exe
C:\cpqsystem\rel1711\delmeflk.bat
C:\cpqsystem\rel1711\delmelaun.bat
C:\cpqsystem\rel1711\launcher.exe
INSTRUCT.txt
<random>.bat
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: morf56@meta.ua
jabber: fhmjfjf@default.rs

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2017:
Дополнение к расширению: +asdasd333@default.rs
Контакт в Jabber: asdasd333@default.rs
Записка: INSTR.txt
Тема на форуме >>

➤ Содержание записки: 
Для расшифровки пишите в джаббер: asdasd333@default.rs , Ваш ПИН: 69 --- 
In order to decrypte files please contact me via Jabber asdasd333@default.rs your pin 69

Обновление от 21 мая 2018:
Дополнение к расширению: __murzik@jabber.mipt.ru
Email: murzik@jabber.mipt.ru
Файл с ключом: dakeys.txt
Записка: INSTRUCTION.txt
➤ Содержание записки:
Хотите расшифровать Ваши файлы? Пишите на джаббер (xmpp): murzik@jabber.mipt.ru (можете писать в оффлайн если нас нет в онлайне) Ваш PIN: **
Топик на форуме >>


Обновление от 5 июля 2018: 
Пост в Твиттере >>
Расширение: +superuser111@0nl1ne.at
Email: superuser111@0nl1ne.at
Записка: INSTRUCTIONX.txt
➤ Содержание записки: 
To decrypt files - Jabber (xmpp) address: superuser111@0nl1ne.at (if we are offline - you can write offline, its ok) PIN: 44
Результаты анализов: VT + JSC


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
За дешифровкой обращайтесь к thyrex по ссылке >>
Увы... Для зашифрованных файлов новых версий FLKR нет дешифровщика. 
Файлы могут быть дешифрованы только с использованием (закрытого) секретного 
ключа, находящегося у злоумышленника.
 Read to links: 
 Topic on VI
 Tweet on Twitter
 ID Ransomware (ID as FLKR)
 *
 Thanks: 
 Thyrex, Andrew Ivanov
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton