Striked

Striked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA+SHA256, а затем требует написать на email, чтобы получить дешифратор и вернуть файлы. Плата за дешифровку разная, минимум $300 в BTC. Оригинальное название: не указано. Написан на Python. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения без точек: 
#<email>#id#<id>

Примеры, известных: 
#nukem@mortalkombat.top#id#<id>
#rap@mortalkombat.top#id#<id>
#bitcoin@mortalkombat.top#id#<id>
---
* Под <id> цифры, в имеющихся образцах их было 10. 

Файлы сохраняют исходный размер.

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_DECRYPT.html

Содержание записки о выкупе:
YOUR FILES ARE STRIKED!
-=ALL OF YOUR FILES ARE ENCRYPTED!=-
Your personal identifier: 1499363281
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to raiden@mortalkombat.top
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
*** Do not attempt to uninstall the program or run antivirus software
*** Attempts to decrypt files by themselves will result in the loss of your data

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БАСТУЮТ!
-=ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!=-
Ваш персональный идентификатор: 1499363281
Ваши документы, фото, базы данных, сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы расшифровать ваши файлы, отправьте email на адрес raiden@mortalkombat.top
В ответном письме вы получите программу для дешифрования.
После запуска программы дешифрования все ваши файлы будут восстановлены.
!!! Внимание !!!!!! Внимание !!!!!! Внимание !!!
*** Не пытайтесь удалить программу или запустить антивирусную программу
*** Попытки дешифрования файлов самому приведут к потере ваших данных

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_DECRYPT.html
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
113.53.231.201:3129- Таиланд
1.179.146.153:8080  - Таиланд
1.28.246.144:8080 - Китай
См. ниже результаты анализов.

Известные email вымогателей:
nukem@mortalkombat.top
raiden@mortalkombat.top
rap@mortalkombat.top
m.pirat@aol.com
duk@mortalkombat.top
jekabro@mortalkombat.top
Andrey.gorlachev@aol.com
bitcoin@mortalkombat.top
chivas@aolonline.top
raiden@aolonline.top
help_911_support@rambler_ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Striked-1 Ransomware - июль 2017 - шаблон расширения: #<email>#id#<id>
Striked-2 Ransomware - декабрь 2017  - шаблон расширения: .<email>.<email> или .<email>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 декабря 2018:
Расширение: .help_911_support@rambler_ru
Расширение может быть двойным, если сработало повторное шифрование: 
.help_911_support@rambler_ru.help_911_support@rambler_ru
Шаблон расширения: .<email>
Содержание записки: 
YOUR FILES ARE STRIKED!
-= ALL OF YOUR FILES ARE ENCRYPTED! =-
Your personal identifier:1512935136
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to help_911_support@rambler.ru
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
***Do not attempt to uninstall the program or run antivirus software
***Attempts to decrypt files by themselves will result in the loss of your data
Топик на форуме >>

!!! Я передал разработчику дешифровщика Майклу Джиллеспи информацию по новой версии шифровальщика. Он изучил представленные образцы и сообщил нам, что: 
➽ С декабря шифровальщик использует файл конфигурации со статическими паролями, а ранее он компилировался в самой программе. Для помощи в расшифровке файлов пострадавшему требуется найти на своём ПК файл .json с шестнадцатеричным именем файла и переслать его Майклу. Без этого файла дешифрование невозможно. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Striked Decrypter для дешифровки >>
Поддерживает расширения:
#<email>#id#<id> 

В конце 2017 года произошли изменения в функционале и работе шифровальщика. 
Чтобы вам помочь, найдите на ПК файл .json с шестнадцатеричным именем файла. 
Найдёте, обращайтесь по ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Striked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.