Pennywise Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Address book. Название проекта: Setup. На файле написано: Address book.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: Jigsaw >> Pennywise
К зашифрованным файлам может добавляться расширение .beep
Образец этого крипто-вымогателя был найден во второй половине октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке.
Запиской с требованием выкупа выступает экран блокировки с Пеннивайзом, монстром в обличье клоуна из романа Стивена Кинга "Оно".
Содержание записки о выкупе:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently, therefore I won't be able to access them, either.
If you turn off your computer or try to close me, when I start next time you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that is capable to decrypt your personal data for you.
Meanwhile..... You want a balloon? Hahahahaha_
Перевод записки на русский язык:
Ваши личные файлы будут удалены. Ваши фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если вы не подчинитесь.
Но я уже зашифровал ваши личные файлы, потому они вам недоступны.
Каждый час я выбираю некоторые из них для удаления, поэтому я не смогу их получить.
Если выключите компьютер или попробуете закрыть меня, то в мой следующий запуск я удалю 1000 файлов в наказание.
Да, вы захотите, чтобы я ещё запустился, т.к. только я могу расшифровать ваши личные данные для вас.
Между тем ..... Ты хочешь шарик? Хахахахаха_
Содержание текста из окна дешифровщика:
Decrypting your files. It will take for a while. Do not click on me! If i crash you lose your files. After done I will close and completely remove myself from your computer.
Перевод текста на русский язык:
Дешифровка ваших файлов. Это займет какое-то время. Не нажимайте на меня! Если я поломаюсь, вы потеряете свои файлы. После этого я закроюсь и самоудалюсь с компьютера.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (127 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.
Файлы, связанные с этим Ransomware:
Setup.exe
EncryptedFileList.txt
NotTxtTest.nottxt
TxtTest.txt
TxtTest.txt.beep
\dr\
C:\EncryptedFileList.txt
C:\FileSystemSimulation\NotTxtTest.nottxt
C:\FileSystemSimulation\TxtTest.txt
C:\FileSystemSimulation\TxtTest.txt.beep
C:\dr
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 21 июля 2018:
Пост в Твиттере >>
Расширение: .beep
Эти скриншоты показывают. что происходит на экране при вводе неправильного и правильного (QQlziAbDzrrWPjksTYoxYq) ключа:
По-прежнему отсутствуют контакты для уплаты выкупа.
Странно, что он еще распространяется.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер Скачать JigsawDecrypter для дешифровки >> Он регулярно обновляется под новые версии Если не получится, напишите Майклу >>
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Lawrence Abrams Michael Gillespie MalwareHunterTeam *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.