Atchbo

Atchbo Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в от 0.007 BTC, чтобы вернуть файлы. Оригинальное название: Atchbo Ransomware. На файле написано: Atchbo Ransomware2.0v.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ExoLock > Atchbo 

К зашифрованным файлам добавляется расширение .exo

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: UnlockYourFiles[0-49].txt

С номерами до 49-ти. Они разбрасываются на рабочем столе. 

В записке указан новый BTC-адрес, но осталась от ExoLock старая сумма выкупа в 0.01 bitcions. 

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
All files have been infected
Get decrypt your files in 4 steps
1.Go to "www.anycoindirect.eu/en/buy/bitcoins"
2.Pay 0.007 bitcoins to the BITCOIN Address in one of the Desktop Text Files
3.Once confirmed your files will be decrypted
4. And you can ENJOY your computer
BTC Address: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk

Перевод текста на русский язык:
Все файлы были заражены
Расшифруйте свои файлы за 4 шага
1. Идите на "www.anycoindirect.eu/ru/buy/bitcoins"
2. Платите 0.007 биткоина на BITCOIN-адрес в одном из текстовых файлов на рабочем столе
3. После подтверждения ваши файлы будут расшифрованы
4. И вы сможете НАСЛАЖДАТЬСЯ своим компьютером
BTC адрес: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов на диске "C" командой:
vssadmin.exe delete shadows /for=c: /all

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Atchbo Ransomware2.0v.exe
ExoGUI.exe
UnlockYourFiles[0-49].txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: exolockexolock.000webhostapp.com (145.14.145.179 Нидерланды)
BTC: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2018:
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
URLs: 
xxxx://basicinfo-logsnotif00.000webhostapp.com/recovery-answer.html
xxxx://panampekanbaru123.000webhostapp.com/cekpoint-loogin-1.html
xxxx://juijd.000webhostapp.com/
xxxxs://sites-fb-recovery-2018.000webhostapp.com/recovery-answer.html
Результаты анализов: HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Atchbo)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.