Executioner Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Executioner. На файле написано: Shiva.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar
К зашифрованным файлам добавляется случайное расширение .<random6>
👉 Примечательно, что у каждого файла своё случайное расширение!
Примеры таких расширений:
.3fulbm
.ndb5ns
.ynycjb
Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. Также имеется английский текст.
Скриншоты и описание
Записка с требованием выкупа называется: Şifre_çöz_Talimat.html (т.е. Инструкция по расшифровке).
Содержание записки о выкупе:
Executioner Ransomware!!
Oops All Of Your Files Are Safely Encrypted!!!"
Please Visit execut2bp3arv6er.onion.cab or execut2bp3arv6er.onion.rip To Learn How To Decrypt Your Files.
YOUR ID 6InmkFj5Is
Executioner Ransomware!!
---Tum Dosyalariniz Guvenle Sifrelenmistir!"
Lutfen execut2bp3arv6er.onion.cab veya execut2bp3arv6er.onion.rip ziyaret ederek dosyalarinizi kurtarmak icin
TALIMATLARI OKUYUNUZ!!!
KIMLIK NUMARANIZ 6InmkFj5Is
Перевод записки на русский язык:
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ВАШ ID 6InmkFj5Is
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ПРОЧТИТЕ ИНСТРУКЦИЮ!!!
Ваш ID 6InmkFj5Is
+ Более полная версия записки предоставлена позже исследователями из BleepingComputer 16 мая 2017.
Содержание текста с более полной версии записки:
Oops all of your files Are safely Encrypted!!! "
Please Visit any links that given below to read the instructions and learn how to Decrypt Your Files!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
IF IT DOESN'T WORK TRY THIS!!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
IF IT DOESN'T WORK AGAIN THEN TRY THIS!!
1. Download 'Tor Browser' from xxxxs://www.torproject.org/ and install it.!
2. OPEN ANY LINK THAT GIVEN BELOW!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
---
YOUR COMPUTER ID
TEST
---
Tum Dosyalariniz Guvenle Sifrelenmistir! "
Lutfen asagida verilen linklerden birini ziyaret ederek dosyalarinizi kurtarmak icin TALIMATLARI OKUYUNUZ!!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
EGER CALISMAZ ISE ASAGIDA VERILEN LINKLERDEN BIRINE GIRINIZ!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
EGER YUKARIDAKI VERILEN METHOD OLMADIYSA ASAGIDAKI METHODU DENEYINIZ!!!
1. 'Tor Browser'u xxxxs://www.torproject.org/ sitesinden indirip kurunuz !
2. ASAGIDA BULUNAN LINKLERDEN BIRTANESINE GIRINIZ!!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
---
KIMLIK NUMARANIZ
TEST
---
EXECUTIONER RANSOMWARE
Другим информатором жертвы выступает изображение, загружаемое с хостинга изображений imgur.com.
Содержание текста о выкупе:
LUTFEN BUNU OKUYUN!!
TUM DOSYALARINIZ EXECUTIONER RANSOMWARE TARAFINDAN SIFRELENMISTIR!!!
BILGISAYARINIZDAKI BELGELER, FOTOGRAFLAR, VERITABANLARI, VE DIGER ONEMLI TUM DOSYALAR SIFRELENMISTIR!!
SIFRELENMIS OLAN DOSYALARI GERI KURTARMAK ICIN LUTFEN TALIMATLARI OKUYUNUZ!!
NOT: VIRUSU BILGISYARINIZDAN KALDIRABILIRSINIZ FAKAT SIFRELENMIS OLAN DOSYALARINIZA GERI ERISIM SAGLIYAMAZSINIZ!!
DOSYA KURTARMA YAZILIMINI SATIN ALMA?
ASAGIDA BULUNAN BITCOIN HESABINA 150 DOLAR ($) DEGERINDE BITCOlN AKTARMANIZ GEREKMEKTE YATIRMA ISLEMINI YAPTIKTAN HEMEN
SONRA ASAGIDA VERILEN MAIL ADRESINE BITCOlN ADRESINIZI VE BULGISAYAR KIMLIK KODUNU YAZIP BIZE GONDERDIGINIZ VAKIT YATIRMA
ISLEMLERI KONTROL EDILIP SIZE SIFRE COZME YAZILIMI VE DECRYPT KODU GONDERILICEKTIR!!
Mail: executioner.ransom@protonmail.com
BITCOlN ADRESS: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
EXECUTIONER
Detayli bilgi için masa üstün'de bulunan Şifre_çöz_Talimat.html açarak inceleyiniz
Перевод текста на русский язык:
ПРОЧТИТЕ ЭТО!!
Ваши файлы зашифрованы Executioner Ransomware!!!
На компьютере, документы, фотографии, базы данных и другие важные файлы зашифрованы!!
Пожалуйста, сохраните файл с инструкциями по расшифровке!!
Примечание: на вашем ПК нет вирусов, вы можете удалить шифрованные на файлы, но тогда вы их потеряете!!
Хотите приобрести программу для восстановления файлов?
Вы должны немедленно перевести 150 долларов в биткоинах на биткоин-адрес ниже.
Потом пришлите на email, приведенный ниже биткоин-адреса, ваш ID и время, когда вы послали биткоины.
После проверки платежа и ID вы получите программу декриптер, который дешифрует ваши файлы!!
Mail: executioner.ransom@protonmail.com
Биткоин-адрес: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
Прочтите на рабочем столе файл şifre_çöz_talimat.html для получения дополнительной информации.
Скриншоты сайта с выбором английской версии
Используется картинка из компьютерной игры MAFIA II. Видимо для устрашения пострадавших.
Технические детали
После доработки может распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Executioner не используют C&C-сервер, зато посылает информацию о зараженных компьютерах с помощью email на подконтрольный ящик вымогателей. Отправляются собранные данные: имя компьютера, имя пользователя, IP-адрес, ключ дешифрования. Пересылка осуществляется от executioner.ransom@bk.ru до executioner.ransom@protonmail.com
Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp,.aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt,.crw, .css, .csv, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .doc, .docm, .docx, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb,.itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl,.m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdb, .mdbackup, .mddata,.mdf, .mef, .menu, .mlx,.mov,.mp3, .mp4, .mpg, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pk7, .pkpass, .png, .png, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .psk, .pst, .ptx,.py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sql, .sr2, .srf,.srw,.sum, .svg, .syncdb, .t12, .t13, .tax, .tor,.txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xml, .xxx, .zip, .ztmp (209 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Шифрование пропускает файлы в директориях:
Windows, Program Files и Program Files (x86)
Файлы, связанные с этим Ransomware:
Executioner.exe
Şifre_çöz_Talimat.html
f2lnJK9.jpg
<random>.exe
Расположения:
%ALLUSERSPROFILE%\Microsoft\Crypto\RSA\MachineKeys\Sifre_Coz_Talimat.html
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***execut2bp3arv6er.onion.cab
***execut2bp3arv6er.onion.rip
Email: executioner.ransom@bk.ru
executioner.ransom@protonmail.com
executioner.update@protonmail.com
BTC: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vUСм. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support Video review
Thanks: BleepingComputer, Michael Gillespie Alex Svirid GrujaRS Andrew Ivanov
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.