LambdaLocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA и SHA-256, а затем требует выкуп в 0,5-1 биткоин, чтобы вернуть файлы. Название оригинальное.
© Генеалогия: LambdaLocker. Начало
К зашифрованным файлам добавляется расширение .lambda_l0cked
Изображение не принадлежит шифровальщику
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: READ_IT.hTmL
Написаны на английском и китайском языках.
Содержание записки о выкупе:
!!!WARNING!!!
Your files are encrypted by the LambdaLocker.
Your ID: 4530-1xxx-2xxx-5xxx
We used AES-256 and SHA-256 cipher to encrypt. So DO NOT try to crack your files.
The way to DECRYPT:
Step1: pay 0.5 Bitcoin to 1MJod*** (Case Sensitive, Please copy this address) in 1 month.
Step2: send an E-MAIL to lambdasquad.hl@yandex.com after you finish step 1
Format:
Subject: decryptLL
Body: [Your ID]P05 (Example:[1234-1234-1234]P05)
Step3: Please wait. We will send the decrypter and the key to you in 3 hours.
How to get Bitcoins and pay?
1. Register a Bitcoin Trade Platform.
2. Buy Bitcoins through the platform.
3. Pay 0.5 Bitcoins to 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 and follow the decrypt step.
If you can't understand, please Google: How can I buy and pay bitcoin?
Bitcoin Trade Platform recommend:
1. HuoBi (火币,China): https://www.huobi.com/
2. BtcTrade (China): http://www.btctrade.com
3. OKCoin: https://www.okcoin.cn/
4. Bter: https://bter.com/
5. JuBi (聚币,China): http://www.jubi.com/
6. Btc100 (China): https://www.btc100.cn/
7. BTC-e: https://btc-e.com/
8. Bitstamp: https://www.bitstamp.net/
9. GDAX: https://www.gdax.com/
10. CEX: https://cex.io/
Or you can use others.
If you have any questions, please e-mail lambdasquad.hl@yandex.com.
!!!警告!!!
您的所有文件已经被LambdaLocker加密.
您的ID : 4530-1099-2139-5329
我们使用了AES-256和SHA-256加密,请不要试图破解.
解锁方式:
第一步:在一个月内支付0.5比特币到地址 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 (区分大小写,请完整地复制)
第二步:完成第一步之后,发送邮件到 lambdasquad.hl@yandex.com
格式:
邮件标题:decryptLL
邮件内容:[您的ID]P05 (举例:[1234-1234-1234]P05)
第三步:请等待.我们会把秘钥和解锁程序在3小时内发送给您.
如何得到比特币并支付?
1.注册一个比特币交易平台.
2.通过平台购买比特币.
3.通过平台支付0.5比特币到1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2并继续解锁步骤.
如果还有疑问请上网搜索:如何购买并支付比特币
比特币交易平台推荐:
1.YunBi(云币,China):https://yunbi.com/
2.BtcTrade(China):http://www.btctrade.com
3.OKCoin:https://www.okcoin.cn/
4.Bter:https://bter.com/
5.JuBi(聚币,China):http://www.jubi.com/
6.Btc100(China):https://www.btc100.cn/
7.BTC-e:https://btc-e.com/
8.Bitstamp:https://www.bitstamp.net/
9.GDAX:https://www.gdax.com/
10.CEX:https://cex.io/
或者您也可以使用其他的.
如果您有任何疑问,请发送邮件至lambdasquad.hl@yandex.com
Перевод записки на русский язык:
!!!ПРЕДУПРЕЖДЕНИЕ!!!
Ваши файлы зашифрованы с помощью LambdaLocker.
Ваш ID: 4530-1xxx-2xxx-5xxx
Мы использовали AES-256 и SHA-256 шифры для шифрования. Потому не пытайтесь взломать ваши файлы.
Путь к дешифровке:
Шаг 1: платить 0,5 Bitcoin на 1MJod *** (чувствительно к регистру, скопируйте этот адрес) в течение 1 месяца.
Шаг2: отправить email на lambdasquad.hl@yandex.com после 1-го шага
Формат:
Тема: decryptLL
Тело: [Ваш ID]P05 (Пример: [1234-1234-1234]P05)
Шаг 3: Подождите. Мы пришлем декриптер и ключ вам за 3 часа.
Как получить биткоины и заплатить?
1. Зарегистрироваться в Bitcoin Trade Platform.
2. Купить биткоины через платформу.
3. Оплатить 0,5 биткоина на 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 и далее шаг дешифрования.
Если вы не можете понять, пожалуйста гуглите: How can I buy and pay bitcoin?
Bitcoin Trade Platform рекомендует:
1. HuoBi (火 币, Китай): https://www.huobi.com/
2. BtcTrade (Китай): http://www.btctrade.com
3. OKCoin: https://www.okcoin.cn/
4. Bter: https://bter.com/
5. JUBI (聚 币, Китай): http://www.jubi.com/
6. Btc100 (Китай): https://www.btc100.cn/
7. BTC-е: https://btc-e.com/
8. Bitstamp: https://www.bitstamp.net/
9. GDAX: https://www.gdax.com/
10. CEX: https://cex.io/
Или вы можете использовать другие.
Если у вас есть любые вопросы, пожалуйста, пишите на email lambdasquad.hl@yandex.com
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Запустившись вредонос завершают работу следующих служб:
MariaDB
MSSQL
MSSQL56
MSSQLServer
OracleServiceORCL
Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .backup, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpeg, .jpg, .mdb, .odt, .pdf, .psd, .rar, .rtf, .sqlite, .tiff, .xls, .xlsx, .zip (23 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
При шифровании пропускаются файлы, находящиеся в директориях:
ProgramFiles
Windows
Файлы, связанные с этим Ransomware:
READ_IT.hTmL
LambdaLocker.exe
baiduyunSimple.exe
Расположения:
%SystemDrive%\READ_IT.hTmL
%SystemDrive%\lf.lst
%SystemDrive%\!A_NOTICE_FROM_LAST
%SystemDrive%\lalove.inf0
[PATH TO MALWARE]\#Cyb3rGh0st_S0c13tyF@ck3r
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
lambdasquad.hl@yandex.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Symantec: Ransom.LambdaLocker >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Обновление от 5 апреля 2017:
Версия: LambdaLocker Python
Сумма выкупа: 1 BTC
Файлы: kukuvruku.exe, reloader.exe
Расширение: .lambda_l0cked
Целевые файлы: .gif, .htm, .html, .pdf, .txt и другие.
Останавливает процессы: mysql, MySQL56, mssqlserver, OracleServiceORCL, MongoDB, MariaDB, postgresql
Завершает задачи процессов: mysql.exe, IM oracle.exe, sqlserver.exe, IM Apache.exe
Результаты анализов: HA+VT
Новый видеоролик >>
Обновление от 7 апреля 2017:
Результаты анализов: HA+VT
Обновление от 27 июля 2017:
Пост в Твиттере >>
Записка: !UNLOCK_guiDE.tXT и ярлык UNLOCK_guiDE
Расширение: .MyChemicalRomance4EVER
Файл: VortexVPN.exe
Результаты анализов: VT
Скриншот записки и Список расширений:
Внимание! Для зашифрованных файлов есть дешифровщик Скачать LambdaLocker Fix для дешифровки >>
Read to links: Tweet on Twitter ID Ransomware (ID as LambdaLocker) Tweet on Twitter + Write-up + Video review
Thanks: Michael Gillespie Symantec Chris Doman GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.