LockBox

LockBox Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockBox. На файле написано: data.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширения:
.trevinomason1@mail.com.vsunit
.trevinomason1@mail.com.vsunit2

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [не указано]

Содержание записки о выкупе:
We found that all of your files are encrypted with AES-256 algorithm.
Fortunately, we can help you decrypt your files.
To help you, you must write a message to us on our email: trevinomasonl@mail.com.
In the message, you must write your PERSONAL KEY, which is written at the end of this manual, and you must also attach no more than 3 encrypted files of no more than 2 mb each.
If you didn't receive a reply within 24 hours after your message, please duplicate your message by email: salvatoreolsond598d@gmail.com
If after 24 hours you still have not received an answer, you need to register a tor-email on link http://torbox3uiot6wchz.onion.to or http://torbox3uiot6wchz.onion.gq
And write a message to the tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ATTENTION! The message must be sent from the tor-email, otherwise it will not be delivered and will not be read by us.
Also you can register tor-email at the link http://torbox3uiot6wchz.onion (this link can only be opened in the tor browser https://www.torproject.org/)
----PERSONAL KEY----

Перевод записки на русский язык:
Мы обнаружили, что все ваши файлы зашифрованы с алгоритмом AES-256.
К счастью, мы можем помочь вам расшифровать ваши файлы.
Чтобы помочь вам, вы должны написать нам письмо по email: trevinomasonl@mail.com.
В сообщении вы должны написать свой PERSONAL KEY, который написан в конце этого руководства, и вы также должны прикрепить не более трех зашифрованных файлов объемом не более 2 мб каждый.
Если вы не получили ответ в течение 24 часов после вашего письма, дублируйте свое сообщение по email: salvatoreolsond598d@gmail.com
Если после 24 часов вы все равно не получили ответа, вам нужно зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion.to или http://torbox3uiot6wchz.onion.gq
И напишите сообщение на tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ВНИМАНИЕ! Сообщение должно быть отправлено из почты Tor, иначе оно не будет доставлено и не будет прочитано нами.
Также вы можете зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion (эту ссылку можно открыть только в Tor-браузере https://www.torproject.org/)
---- PERSONAL KEY ----

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Написан на Delphi. Использует mORMot framework. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
data.exe
<random>.exe
bat4850245.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
trevinomason1@mail.com
salvatoreolsond598d@gmail.com
xxxx://torbox3uiot6wchz.onion.to
xxxx://torbox3uiot6wchz.onion.gq
xxxx://trevinomason1@torbox3uiot6wchz.onion
xxxx://www.schneier.com/***
xxxx://www.movable-type.co.uk/***
xxxx://tools.ietf.org/html/***
xxxx://www.ietf.org/***
xxxx://csrc.nist.gov/***
xxxx://trevinomason1@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 9 сентября 2017:
Пост в Твиттере >>
Расширение: .trevinomason1@mail.com.vsunit
Email: trevinomason1@torbox3uiot6wchz.onion
trevinomason1@mail.com
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockBox)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Это 700-й пост блога!!!