Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 ноября 2017 г.

SAD

SAD Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: SAD Ransomware. На файле написано: tGVkDTIb.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение, взятое из персонального ID жертвы, которое можно записать как .<personal_ID> или .<hex_ID>

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
_HELPME_DECRYPT_.txt - текстовый файл
_HELPME_DECRYPT_.html - HTML-файл (веб-страницf)
_HELPME_DECRYPT_.hta - HTA-файл (веб-приложение)
_HELPME_DECRYPT_.bmp - файл изображения для обоев


Содержание TXT-записки о выкупе:
 --  ALL YOUR FILES HAVE BEEN ENCRYPTED  -- 
All of your data(photo, documents, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
It means that you will not be able to accsess your files anymore until they´re decrypted.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The only one way to decrypt your files is to receive the private key and decryption program.
Dont waste your time. No one will be able to recover tem without our decryption service.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don´t know how to get Bitcoins, you can google: 'How to Buy Bitcoins' and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
If you dont know how to create a wallet go to http://blockchain.info/wallet and create a bitcoin wallet.
Need more information about Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
More information about the AES encryption can be found here:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
If you have any questions, write us: decrypt_sad@protonmail.com
YOUR PERSONAL IDENTIFICATION: 
51C51342BC305F401E014AAF44A***

Перевод TXT-записки о выкупе:
- ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ -
Все ваши данные (фото, документы, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Это значит, что вы больше не имеет доступ к своим файлам, пока они не будут расшифрованы.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Не тратьте свое время. Никто не сможет восстановить систему без нашей службы расшифровки.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Если вы не знаете, как создать кошелек, перейдите по адресу xxxx://blockchain.info/wallet и создайте биткоин-кошелек.
Вам нужна дополнительная информация о Bitcoin?
xxxxs://en.wikipedia.org/wiki/Bitcoin
Подробную информацию о AES-шифровании можно найти здесь:
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Если у вас есть вопросы, напишите нам: decrypt_sad@protonmail.com
ВАША ПЕРСОНАЛЬНАЯ ИДЕНТИФИКАЦИЯ:
51C51342BC305F401E014AAF44A***


Содержание текста с обоев:
!!! IMPORTANT INFORMATION !!!
SAD RANSOMWARE
YOUR FILES HAVE BEEN ENCRYPTED
More information about Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
More details can be found in _HELPME_DECRYPT_.txt file
wich you can find on your desktop.
Your Personal ID:
E7A96F1D735F84C7CE636EF0E1C442***

Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
SAD RANSOMWARE
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Информация о биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Подробности можно найти в файле _HELPME_DECRYPT_.txt
который можете найти на рабочем столе.
Ваш Персональный ID: 
E7A96F1D735F84C7CE636EF0E1C442***

Содержание HTML-записки о выкупе:
SAD RANSOMWARE 
YOUR FILES ARE ENCRYPTED! 
If you want to restore your files, you need to buy the decrypter!
If you want to buy the decrypter, click the button below
[Yes, I want to buy] -> URL: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Если хотите вернуть свои файлы, вам нужно купить декриптер!
Если хотите купить декриптер, кликните на кнопку
[Да, я хочу купить] -> ссылка: xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch


Содержание HTA-записки о выкупе:
SAD RANSOMWARE Instructions
SAD RANSOMWARE 
Instructions
All of your files(documents, photos, databases,...) have been encrypted with AES 256 bit and a private and unique key generated for this computer.
The private key is stored in our servers and the only way to receive your key to decrypt your files is to pay.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments.
If you don't know how to get Bitcoins, you can google: "How to Buy Bitcoins" and follow the instructions.
To recover your files and unlock your computer, you must send 0.3 Bitcoins.
We created an easier way to pay, go on this link
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch

Перевод записки на русский язык:
SAD RANSOMWARE инструкции
SAD RANSOMWARE 
инструкции
Все ваши файлы (документы, фото, базы данных ...) были зашифрованы с помощью AES-256 и личным уникальным ключом, созданным для этого компьютера.
Частный ключ хранится на наших серверах, и единственный способ получить ваш ключ для расшифровки ваших файлов - это заплатить.
Платеж должен быть выполнен в биткоинах с уникальным адресом, который мы создали для вас, биткоины - это виртуальная валюта для онлайн-платежей.
Если вы не знаете, как получить биткоины, вы можете погуглить: 'How to Buy Bitcoins' и следовать инструкциям.
Чтобы восстановить файлы и разблокировать компьютер, вы должны отправить 0.3 биткоина.
Мы создали более простой способ оплаты, перейдите по этой ссылке
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

📢 Зашифровав файлы, SAD Ransomware проигрывает короткий звуковой сигнал. 

Список файловых расширений, подвергающихся шифрованию:
...  .cer, .DEU, .der, .jpg, .jepg, .gif, .htm, .html, .ini, .manifest, .pak, .pdf, .sig, .TXT, .txt, .url, ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Liesmich.htm.<personal_ID>
ReadMe.htm.<personal_ID>
_HELPME_DECRYPT_.txt

_HELPME_DECRYPT_.html
_HELPME_DECRYPT_.hta
_HELPME_DECRYPT_.bmp
tGVkDTIb.exe
picture.exe
<random>.exe

Расположения:
\Desktop\_HELPME_DECRYPT_.txt
\Desktop\_HELPME_DECRYPT_.html
\Desktop\_HELPME_DECRYPT_.hta
\Desktop\_HELPME_DECRYPT_.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.
xxxxs://satoshibox.com/vud52e2qj467i53njq7t34ch
Email: decrypt_sad@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SAD)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *