GOG

GOG Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, другое: GOG1. Разработчик: GOG. 

© Генеалогия: EDA2 >> GOG

К зашифрованным файлам добавляется расширение .L0CKED 

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: текстовый файл DecryptFile.txt и изображение random.jpg, встающее обоями рабочего стола. 

Содержание записки о выкупе:
WARNING!!!
@ NOT YOUR LANGUAGE? USE https://translate.google.com
@ What happened to your files?
@ All of your files were protected by a strong encryption with RZA4096
@ More information about the encryption keys using RZA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ How did this happen?
@ Specially for your PC was generated personal RZA4096 Key, both publik and private.
@ ALL YOUR FILES were en-Crypted with the publik key, which has been transferred to your computer via the Internet.
@ Decrypting of your files is only possible with the help of the privatt key and de-crypt program, which is on our Secret Server
@ What do I do?
@ So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW!, and restore
your data easy way
@ If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
@ Your personal ID: Open DecryptFile.txt
@ For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html
@ If for some reasons the addresses are not available, follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - xxxx://y6wb5h3ksb6hppeh.onion/service.html
4 - Follow the instructions on the site
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Ошибки в тексте:
Я исправил лишь ошибки пунктуации, но не тронул ряд слов, которые есть в оригинале записки. Они могут послужить характерным признаком для опознания стиля вымогателей.  

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
@ НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
@ Что случилось с файлами?
@ Все ваши файлы были защищены сильным шифрованием с RZA4096
@ Более подробную информацию о ключах en-Xryption с использованием RZA4096 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ Как это произошло?
@ Специально для вашего ПК был создан персональный RZA4096 ключ, как publik и частный.
@ Все файлы были en-Crypted с помощью ключа publik, который был передан на компьютер через Интернет.
@ Дешифрование файлов возможно только с помощью ключа privatt и de-crypt программы, которая находится на нашем секретном сервере 
@ Что мне делать?
@ Есть два способа, которые вы можете выбрать: ждать чуда и получить удвоенную цену, или начать приобретать биткоины!, и восстановить ваши данные простым способом
@ Если у вас есть действительно ценные данные, то лучше не тратить свое время, потому что нет никакого другого пути, чтобы получить ваши файлы, кроме сделать оплату
@ Ваш персональный ID: откройте DecryptFile.txt
@ Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, ниже есть несколько различных адресов, указывающих на вашу страницу:
хххх://y6wb5h3ksb6hppeh.onion/service.html
хххх://y6wb5h3ksb6hppeh.onion.to/service.html
@ Если по каким-то причинам адреса недоступны, выполните следующие действия:
1 - Загрузка и установка Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустите браузер
3 - Введите в адресной строке - хххх://y6wb5h3ksb6hppeh.onion/service.html
4 - Следуйте инструкциям на сайте
Обязательно скопируйте свой личный ID и ссылку на инструкции в ваш блокнот, чтобы не потерять их.

Страница с сайта оплаты выкупа

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
GOG.exe - исполняемый файл вымогателя
\Desktop\DecryptFile.txt - записка о выкупе
random.jpg - изображение на рабочий стол

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/createkeys.php
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/savekey.php
xxxx://81.4.122.134/imagini/xok.jpg - загрузка изображения на обои
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GOG)
 Write-up
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.