Locky-Osiris 2017 Ransomware
"Revived Locky-Osiris"
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. По факту это обновлённая итерация Locky.
К зашифрованным файлам добавляется расширение .osiris
Locky, дремавший с конца 2016 - начала 2017 года, вернулся с новой силой во второй половине апреля 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: OSIRIS-<4_digits>.htm
например, OSIRIS-5263.htm
Содержание записки о выкупе:
_=*=-=
$*++.*|**=. =.-=+|+
-= =**.*|-*__* -
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-204S and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of tins addresses are not available, follow these steps:
1. Download and install Tor Browser: https: www.torproiect.org download download-easv.html
2. After a successful installation, nui the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion***
4. Follow the instructions on the site.
!!! Your personal identification ID: *** !!
|= $ +$
.= --*==
$ .|.|-* =|.===-+_$
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с шифрами RSA-204S и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org wiki RSA (cryptosystem)
http://en.wikipedia.org wiki Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которые есть на нашем секретном сервере.
Чтобы получить закрытый ключ, следуйте по одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor Browser: https: www.torproiect.org загрузить download-easv.html
2. После успешной установки откройте обозреватель и дождитесь инициализации.
3. Введите в адресной строке: g46mbrrzpfszonuk.onion***
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный номер: *** !!
Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, в том числе с помощью эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Примеры названий вредоносных вложений в email: Receipt 435, Payment Receipt 2724, Payment-2677, Payment Receipt_739, Payment#229.
Используемые типы файлов: PDF, DOC/DOCM, XLS/XLSM (документы DOC и XLS с макросами): <random>.pdf, <random>.docm, <random>.xlsm
Предложения вредоносного характера: включить макросы в документе ("Enable Content"). После включения загружается бинарник шифровальщика.
Email, указанные в письме: donotreply@stmargaretsbrookfield.org.uk и другие.
Все указанные в письмах отправители, компании, правительственные ведомства и другие организации, имена сотрудников, номера телефонов, ссылки и т.д. выбраны случайным образом. Некоторые из этих компаний реально существуют, а другие вымышлены. Не пытайтесь ответить по телефону или написать на email отправителя, т.к. всё сделано для того, чтобы побудить вас вслепую открыть вложение или, нажав на ссылку в письме, перейти на некий сайт, что узнать подробности.
После шифрования файлов удаляются тома теневых копий файлов командой:
C:\Windows\system32\vssadmin.exe
Delete Shadows /Quiet /All
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
redchip2.exe - бинарник шифровальщика
Расположения:
%Temp%\redchip2.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL загрузки redchip2.exe: xxxx://uwdesign.com.br/9yg65 и другие.
URL C&C: 188.120.239.230/checkupdate и 80.85.158.212/checkupdate
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Locky) Write-up, Topic *
Thanks: S!Ri Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.