среда, 25 апреля 2018 г.

HPE iLO Ransomware

HPE iLO Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные в серверных системах HPE iLO 4 с помощью RSA, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HPE iLO Ransomware

👉 HPE iLO 4 (HPE Integrated Lights-Out) — интерфейс управления, встроенный в серверы HP, позволяющий администраторам удаленно управлять устройствами, подключаться к iLO с помощью web-браузера или мобильного приложения. После входа в систему администратор получает доступ к журналам, может перезагружать серверы, просматривать информацию и активировать удаленную консоль, обеспечивающую полный доступ к оболочке операционной системы.

Получив доступ к iLO злоумышленники активируют баннер безопасности входа, а затем монтируют удалённый ISO-образ. Когда этот образ будет установлен, он станет доступен как привод в операционной системе. Используя этот удалённый диск, злоумышленники запускают программу, которая будет шифровать диски компьютера. Когда это будет завершено, сервер будет рутован. 

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Security Notice", представляющий собой модифицированный злоумышленниками баннер системы безопасности:

Содержание текста о выкупе:
Security Notice
Hey. Your hard disk is encrypted using RSA 2048 asymmetric encryption. To decrypt files you need to obtain the private key.
It means We are the only ones in the world to recover files back to you. Not even god can help you. Its all math and cryptography .
If you want your files back, Please send an email to 15fd9ngtetwjtdc@yopmail.com.
We don't know who are you, All what we need is some money and we are doing it for good cause.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com
https://www.kraken.com
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
Process:
1) Pay some BTC to our wallet address.(negotations almost impossible unless you are a russian citizen)
2) We will send you private key and instructions to decrypt your hard drive
3) Boom! You got your files back.
---
Demands 2 BTC
Send to 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

Перевод текста на русский язык:
Уведомление безопасности
Привет. Ваш жесткий диск зашифрован с асимметричным шифрованием RSA 2048. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Это значит, что мы единственные в мире, кто вернут вам файлы. Даже Бог не может вам помочь. Это всё математика и криптография.
Если вы хотите вернуть свои файлы, отправьте email на 15fd9ngtetwjtdc@yopmail.com.
Мы не знаем, кто вы, Все, что нам нужно, это деньги, и мы делаем это по уважительной причине.
Не паникуйте, если мы не ответим вам через 24 часа. Это означает, что мы не получили ваше письмо и ещё раз напишите.
Вы можете использовать этот биткоин-обменник для переноса биткоина.
https://localbitcoins.com
https://www.kraken.com
Пожалуйста, используйте английский язык в своих письмах. Если вы не говорите по-английски, воспользуйтесь https://translate.google.com, чтобы перевести свое письмо на английский язык.
Процесс:
1) Оплатите несколько BTC на наш кошелек. (Переговоры почти невозможны, если вы не являетесь российским гражданином)
2) Мы отправим вам секретный ключ и инструкции по расшифровке вашего жесткого диска
3) Бум! Вы вернули свои файлы.
---
Требуется 2 BTC
Отправить на 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Никогда не нужно подключать устройство HPE iLO напрямую к Интернету. Вместо этого необходимо настроить доступ только через защищённую виртуальную частную сеть (VPN).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 15fd9ngtetwjtdc@yopmail.com
BTC: 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm
BTC-кошельки могут быть уникальными для каждой жертвы. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HPE iLO Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 M. Shahpasandi
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton