Если вы не видите здесь изображений, то используйте VPN.

суббота, 2 декабря 2017 г.

Payment

Payment Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: PAYMENT. На файле написано: PAYMENT.exe или что-то другое. Среда разработки: Visual Studio 2010.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*. 
Пока находится в разработке и не шифрует файлы. 

Образец этого крипто-вымогателя был найден в начале декабря 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. Пока, судя по сообщениям исследователей, файлы не шифруются. 

Запиской с требованием выкупа выступает экран блокировки с заголовком PAYMENT:

Содержание записки о выкупе:
¡TODOS TUS DATOS HAN SIDO ENCRIPTADOS!
¡NO REINICIES EL SISTEMA O NO PODRÁS RECUPERARLOS!
¡CUALQUIER MOVIMIENTO QUE LLEVES A CABO PODRÍA
SUPONER LA PÉRDIDA TOTAL DE TUS DATOS!
----------------------------------------
SITUACIÓN ACTUAL
----------------------------------------
Lamentablemente has sido víctima de un *Ransomware*; un malware (virus) que priva, de forma absoluta, al usuario del acceso a la información contenida en las unidades de almacenamiento conectadas al sistema; esto significa:
*Documentos*, *Imágenes*, *Vídeos*.... ENCRIPTADOS (INSERVIBLES) por medio de un código de cifrado que únicamente el desarrollador del malware conoce, siendo, por ende, el único capáz de restaurar los archivos a su estado original.
Se solicita a la víctima un ingreso en BitCoins (Moneda no rastreable) vía internet a cambio del código de cifrado, necesario para la recuperación de sus datos.
----------------------------------------
CONDICIONES DE RECUPERACIÓN
----------------------------------------
Una vez comprendida la situación y su gravedad, procederé a explicarte las sencillas condiciones que has de seguir para RECUPERAR TU INFORMACIÓN ENCRIPTADA:
> DEBERÁS LLEVAR A CABO UN INGRESO BANCARIO, VÍA INTERNET, ANTES DE LAS 06:00 AM [+01:00 UTC]. Lo cual podrás realizar mediante las intrucciones facilitadas más abajo, donde también se especifica la cantidad a ingresar; no es relevante desde dónde se realice el ingreso, puede ser en este sistema o en cualquier otro.
> NO INTENTES ACCEDER A TU SISTEMA DE NINGUNA FORMA
Cualquier movimiento sospechoso; como apagar/reiniciar el sistema, cerrar sesión, intentar acceder al administrador de tareas o al command prompt. etc; será interpretado como un ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE


Перевод записки на русский язык:
Все ваши данные зашифрованы!
Не перезагружайте систему, или вы не сможете их восстановить!
Любые действия, которое вы сделаете, могут привести к полной потере ваших данных!
----------------------------------------
ТЕКУЩАЯ СИТУАЦИЯ
----------------------------------------
К сожалению, вы стали жертвой *Ransomware*; вредоносной программы (вирус), которая абсолютно лишает пользователя доступа к информации, содержащейся в блоках хранения, подключенных к системе; это означает:
*Documents*, *Images*, *Videos* .... ЗАШИФРОВАНЫ (БЕСПОЛЕЗНЫ) с помощью кода шифрования, который знает только разработчик вредоносного ПО, поэтому это единственная возможность восстановить файлы в исходное состояние.
Пользователю предлагается перевести BitCoins (неотслеживаемая валюта) через Интернет в обмен на код шифрования, необходимый для восстановления его данных.
----------------------------------------
УСЛОВИЯ ВОССТАНОВЛЕНИЯ
----------------------------------------
Как только ситуация и её серьезность будут поняты, я приступлю к объяснению простых условий, которые вы должны соблюдать, чтобы ВОССТАНОВИТЬ ВАШУ ЗАШИФРОВАННУЮ ИНФОРМАЦИЮ:
> ВЫ ДОЛЖНЫ СДЕЛАТЬ БАНКОВСКИЙ ПЕРЕВОД, В ИНТЕРНЕТЕ, ДО 06:00 [+01: 00 UTC]. Это вы можете сделать с помощью приведённых ниже инструкций, где также указывается сумма для перевода; не имеет значения, откуда производится перевод, он может быть в этой системе или в любой другой.
> НЕ ПОПЫТАЙТЕСЬ ПОЛУЧИТЬ ДОСТУП К ВАШЕЙ СИСТЕМЕ ЛЮБЫМ ПУТЁМ
Любое подозрительное движение; как выключение / перезапуск систему, выход из системы, попытка получить доступ к диспетчеру задач или командной строке, и т.д. будут интерпретироваться как ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PAYMENT.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Код разблокировки: 1029384756
Файлы:  svchost.exe, frdom.exe
Фальш-имя: Svchost
Фальш-копирайт: Microsoft
IP: 216.58.205.238:80 (США)
Результаты анализов: VB + VT + AR
Пока также не шифрует. 


***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Andrew Ivanov
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *