Polski Ransomware
Gadu-Gadu Ransomware
AESxWin Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует связаться по email и польскому мессенджеру Gadu-Gadu, чтобы заплатить выкуп $249 и вернуть файлы. Название оригинальное. В реестре также используется раздел "AESxWin". Разработчик: Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018 года).
© Генеалогия: Polski > Vortex > Flotera
К зашифрованным файлам добавляется расширение .aes
Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
!!! - - ODZYSKAJ-PLIKI - - !!!.htm (польск. "Восстановление файлов")
!!! - - ODZYSKAJ-PLIKI - - !!!.txt
Содержание текста с чёрного экрана (перевод автора блога):
@@@@@
POLSKI RANSOMWARE
@@@@@
#####
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików .jpg .pdf .doc .xls i wielu innych jest nie do otwarcia?
DOSTĘP DO TWOICH DANYCH ZABLOKOWANY !!
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z
jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
#####
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
#####
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org
Możesz też napisać na Gadu-Gadu : 61621122
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!
#####
Перевод этого текста на русский язык:
POLSKI RANSOMWARE
Не можешь найти нужные файлы на жёстком диске?
Содержимое твоих файлов .jpg .pdf .doc .xls и многих иных не открывается?
ДОСТУП К ТВОИМ ДАННЫМ БЛОКИРОВАН!!
Это результат программы, которая зашифровала твои данные с помощью сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, фактуры, базы данных были зашифрованы!!
Прочитай больше о вирусах-вымогателях:
trybawaryjny.pl - Что такое Cryptolocker
и т.д.
Nie możesz znaleźć potrzebnych plików na dysku twardym ?
Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Twoje zdjęcia, faktury, bazy danych zostały zaszyfrowane !!
Przeczytaj więcej o wirusach typu ransomware:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - Cryptolocker co to jest i jak się przed nim bronić
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - Ransomware Co to Jest
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - Ransomware płacić czy nie płacić?
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
---
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas !
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych,
Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
---
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub estion@sigaint.org
Możesz też napisać na Gadu-Gadu : 61621122
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać!
Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 249$
Uwaga ! Nie marnuj czasu, czas to pieniądz za 72 godziny cena wzrośnie o 100%!
Перевод записки на русский язык (перевод автора блога):
Не можешь найти нужные файлы на жёстком диске?
Содержимое файлов не открывается?
Это результат программы, зашифровавшей большинство твоих данных с сильным алгоритмом AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Твои фото, счета-фактуры, базы данных были зашифрованы!!
Узнай больше о вирусах-вымогателях:
xxxx://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ - "Что такое Cryptolocker и как защититься от него?
xxxx://bitdefender.pl/ransomware-co-to-jest-i-jak-sie-przed-tym-chronic - Bitdefender.pl - "Вымогатель, что такое и как защититься?"
xxxx://datablog.krollontrack.pl/2015/03/18/ransomware-placic-czy-nie-placic/ - "Вымогатели - платить или не платить?"
Единственный способ восстановить твои файлы - купить у нас вместе с программой дешифрования ключ, генерируемый только для тебя!
---
В то время, как ты читаешь, все это уже закончено и выбранные файлы зашифрованы, а вирус удалён из твоего компьютера.
Ключ состоит из нескольких десятков символов, нужных для расшифровки данных с диска, он находится только у нас!
Ты можешь без конца пытаться ставить антивирусные программы, переставить операционную систему, но ничего не изменится!
Если не будешь следовать нашим инструкциям, то не восстановишь файлы, которые были на жёстком диске.
---
После того, как ты решишь восстановить данные, свяжись с нами по одному из email: rsapl@openmailbox.org или estion@sigaint.org
Ты также можешь написать на Gadu-Gadu : 61621122
2 файла расшифруем бесплатно, чтобы доказать, что мы можем это сделать!
За остальные, к сожалению, придётся платить!
Цена за расшифровку всех файлов: $249
Внимание! Не трать свое время, время - деньги, через 72 часа цена увеличится на 100%!
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.doc, .jpg, .pdf, .xls и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.
Файлы, связанные с этим Ransomware:
!!! - - ODZYSKAJ-PLIKI - - !!!.htm
!!! - - ODZYSKAJ-PLIKI - - !!!.txt
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
rsapl@openmailbox.org
estion@sigaint.org
Gadu-Gadu: 61621122
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Обновление от 6 августа 2017:
Пост в Твиттере >>Расширение: .ZABLOKOWANE
Записка: ### - ODZYSKAJ SWOJE DANE - ###.TXT
Файл: AESxWin.exe
Email: 3nigma@0.pl
3nigma@firemail.cc
C2: xxxxs://asuspl.ml/widwdp/***
xxxxs://taniepilapl/mij/***
Результаты анализов: HA+VT
<< Скриншот записки
После ареста в Польше разработчика шифровальщика можно ожидать выпуск бесплатного дешифровщика Используйте ссылку от Cert.pl для получения ключа Перейти по ссылке >> *
Read to links: Tweet on Twitter ID Ransomware (ID as Polski Ransomware) Write-up
Thanks: Michael Gillespie * * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.