Sanctions 2017 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES / RSA, а затем требует выкуп в 6 биткоинов, чтобы вернуть файлы. Оригинальное название: Sanctions.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .wallet
Расширение .wallet ранее использовалось в вымогателе Dharma, но файлы, зашифрованные с Sanctions 2017 не содержат WORM06, т.е. маркер файлов Dharma.
Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: RESTORE_ALL_DATA.html
Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR:
550*********************
What happend with my files?
All your files has been locked (encrypted) with Ransomware
For encrypting we using strong cryptographic algorithm AES256+RSA-2048. Do not attempt to recover the files yourself.
You might corrupt your files. We also rewrite all old blocks on HDD and you don't recover your files with Recuva and other...
YOU HAVE ONLY 5 DAYS FOR BUY YOUR DECRYPTION TOOL
It is not advised to use third party tools to decrypt, if we find them you, you will forever lose your files.
How i can restore my files?
1) Go to link: BUY DECRYPTION INFO and look your price for decryption
2) Go to BTC exchange services and buy Bitcoin
3) Buy your decryption info
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E,
Online wallets: Blockchainlnfo, Block.io
Перевод записки на русский язык:
ВАШ УНИК ИДЕНТИФИКАТОР:
550 *********************
Что случилось с моими файлами?
Все ваши файлы блокированы (зашифрованы) Ransomware
Для шифрования мы используем надежный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь восстановить файлы самостоятельно.
Вы можете испортить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстановите свои файлы с помощью Recuva и других...
У ВАС ЕСТЬ ЛИШЬ 5 ДНЕЙ ДЛЯ ПОКУПКИ ДЕКРИПТЕРА
Не рекомендуется использовать сторонние инструменты для расшифровки, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
1) Иди по ссылке: BUY DECRYPTION INFO и смотри свою цену за расшифровку
2) Иди в сервисы обмена BTC и купи биткойны
3) Купи свою инфу по расшифровке
Руководство BTC:
Лучшие сайты обмена BTC: LocalBitcoins (мы рекомендуем), Coinbase, BTC-E,
Онлайн-кошельки: Blockchainlnfo, Block.io
Записка RESTORE_ALL_DATA.html содержит также ссылку на страницу satoshibox.com, где разработчики вымогателя продают ключ дешифрования за 6 биткоинов. Это составляет около $6500 по текущему курсу Bitcoin или примерно 358000 рублей. См. калькулятор валют.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RESTORE_ALL_DATA.html
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
crannbest@foxmail.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Sanctions) Write-up, Topic *
Thanks: Lawrence Abrams Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.