InfinityLock Ransomware
InfinityCrypt Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.17 BTC (сумма может различаться), чтобы вернуть файлы. Оригинальное название: InfinityLock. На файле написано: PremiereCrack.
Обнаружения:
DrWeb -> Trojan.Encoder.29537, Trojan.Encoder.29538, Trojan.Encoder.32437
BitDefender -> Trojan.Generic.22249329, Generic.Ransom.Hiddentear.A.3B16324D
ALYac -> Trojan.Ransom.InfinityLock
Avira (no cloud) -> TR/DelFile.rghsx, HEUR/AGEN.1033406
Kaspersky -> Trojan-Ransom.Win32.Gen.fkh, UDS:DangerousObject.Multi.Generic
Symantec -> Ransom.CryptXXX
© Генеалогия: ✂️ HiddenTear + другой код >> InfinityLock
Ко всем зашифрованным файлам добавляется одинаковое случайное расширение, которое берется из HWID компьютера.
Например:
.A34A329ECD4B215BE8CDA567F5F8F97C5C99342B705C01D9A79BAB35E3C1474E
.D00B02273B379AB8DC85DA1D169468DA72624C73E6BAEB34B3D0AC86ACE4F3DD
Код из ресурса
Так выглядят зашифрованные файлы
Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: INFINITYLOCK_UNIQEID.TXT
Другим информатором жертвы выступает изображение, встающее обоями рабочего стола. Текст на фоне плохо читается. Но после моей обработки изображения текст стал доступен.
Оригинальное изображение
Обработанное изображение
Содержание текста о выкупе:
YOU BECAME A VICTIM Of THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
Перевод текста на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ INFINITYLOCK RANSOMWARE!
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С RSA 2048
НЕ ПЫТАЙТЕСЬ УДАЛИТЬ МЕНЯ
ПОСЛЕ КАЖДОЙ ПОПЫТКИ СДЕЛАТЬ ЧТО-ТО Я УДАЛЮ ФАЙЛЫ
ПЛАТИТЕ 0.17 БИТКОИНА НА ЭТОТ АДРЕС: 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
ВЫ МОЖЕТЕ КУПИТЬ БИТКОИНЫ НА "BLOCKCHAIN.INFO"
ОТПРАВЬТЕ СВОЙ УНИКАЛЬНЫЙ ID В ОПИСАНИИ БИТКОИН-ОПЛАТЫ
ВЫ НАЙДЁТЕ ЕГО НА РАБОЧЕМ СТОЛЕ В "INFINITYLOCK_UNIQEID.TXT"
ПОСЛЕ ОПЛАТЫ ВАШИ ФАЙЛЫ БУДУТ ДЕШИФРОВАНЫ!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Выдаёт себя за крак для ПО Adobe Premiere. Также использует значок этой программы. Отсюда название PremiereCrack.exe
Это Ransomware дешифруем и в плане шифрования не является инновационным, но экран блокировки, который он отображает для своих жертв, более интересен. Вместо того, чтобы показывать обычный статический экран блокировки или записку о выкупе, InfinityLock отображает на экране фальшивую командную строку Windows, демонстрирующую ввод команды хакера для шифрования компьютера и текст вымогателя. У жертвы может возникнуть паника и желания остановить работу шифровальщика его закрытием, но это не поможет.
Шифрует все файлы на всех дисках:
encrypt.exe -alldata -randomkeysend -rsa2048 -alldrives
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
INFINITYLOCK_UNIQEID.TXT
PremiereCrack.exe
UI.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>
Intezer анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 8 сентября 2019 (фактически только другой образец):
Пост в Твиттере >>
К зашифрованным файлам добавляется одинаковое расширение, которое берется из HWID компьютера.
Например: .A34A329ECD4B215BE8CDA567F5F8F97C5C99342B705C01D9A79BAB35E3C1474E
Файл проекта: PremiereCrack.pdb
Файлы: UI.exe, Endermanch@InfinityCrypt.exe
BTC: 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE
Результаты анализов: VT + HA + IA
➤ Содержание записки:
YOU BECAME A VICTIM OF THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE FOR DECRYPTION!
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID AND YOUR CONTACT EMAIL IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
Обновление от 31 августа 2020:
Расширение: такое же, как и прежде
Не оставляет записку в результате ошибки в программе или имеет защиту от исследования на VM.
URL: arizonacode.bplaced.net
Файл проекта: PremiereCrack.pdb
Файл EXE: PremiereCrack.exe
Результаты анализов: VT + HA + IA + VMR + AR + TG
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32437
BitDefender -> Trojan.GenericKD.34415657
ESET-NOD32 -> A Variant Of MSIL/Filecoder.JX
Malwarebytes -> HackTool.Agent
Microsoft -> Trojan:Win32/Ymacco.AABF
Symantec -> Ransom.CryptXXX
TrendMicro -> Ransom_Agent.R002C0WHP20
Пост в Твиттере >>
К зашифрованным файлам добавляется одинаковое расширение, которое берется из HWID компьютера.
Например: .A34A329ECD4B215BE8CDA567F5F8F97C5C99342B705C01D9A79BAB35E3C1474E
Файл проекта: PremiereCrack.pdb
Файлы: UI.exe, Endermanch@InfinityCrypt.exe
BTC: 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE
Результаты анализов: VT + HA + IA
YOU BECAME A VICTIM OF THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE FOR DECRYPTION!
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID AND YOUR CONTACT EMAIL IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
Обновление от 31 августа 2020:
Расширение: такое же, как и прежде
Не оставляет записку в результате ошибки в программе или имеет защиту от исследования на VM.
URL: arizonacode.bplaced.net
Файл проекта: PremiereCrack.pdb
Файл EXE: PremiereCrack.exe
Результаты анализов: VT + HA + IA + VMR + AR + TG
➤ Обнаружения:
DrWeb -> Trojan.Encoder.32437
BitDefender -> Trojan.GenericKD.34415657
ESET-NOD32 -> A Variant Of MSIL/Filecoder.JX
Malwarebytes -> HackTool.Agent
Microsoft -> Trojan:Win32/Ymacco.AABF
Symantec -> Ransom.CryptXXX
TrendMicro -> Ransom_Agent.R002C0WHP20
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Пострадавшим рекомендую обратиться по одной из этих ссылок: BleepingComputer >> Michael Gillespie >>
Read to links: Tweet on Twitter ID Ransomware (ID as InfinityLock) Write-up, Topic of Support Video review
Thanks: Leo Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Занятная зверюшка.
ОтветитьУдалить