010001 Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. Написан на Python.
© Генеалогия: Noblis > родство подтверждено IntezerAnalyze
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .010001
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие обнаружились в Японии.
Записка с требованием выкупа называется: tmpsfn_as.txt
Содержание записки о выкупе:
*************************************************************
ATTENTION!!!! Your personal files are encrypted!
*************************************************************
To recover the files, you must:
* Send 500$ to the wallet 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
* Send email to "jduy3jd87dhs@grr.la" indicating the reference "11111111111111110000000011110001" when you have paid.
* We will send a decryption program to recover your files.
* Make a backup of this file.
# HELPS #
- How do I buy digital currency with a credit or debit card in the US?
https://support.coinbase.com/customer/en/portal/articles/2343234-how-do-i-buy-bitcoin-with-a-debit-card-in-the-us-
- How do I send digital currency to another wallet?
https://support.coinbase.com/customer/en/portal/articles/971437-how-do-i-send-digital-currency-to-another-wallet-
- How to Buy Bitcoin on Coinbase, Step by Step
https://www.bitcoinmarketjournal.com/buy-bitcoin-on-coinbase/
Перевод записки на русский язык:
************************************************** ***********
ВНИМАНИЕ!!!! Ваши личные файлы зашифрованы!
************************************************** ***********
Чтобы восстановить файлы, вы должны:
* Отправить 500$ на кошелек 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
* Отправить email на адрес "jduy3jd87dhs@grr.la", указав ссылку "11111111111111110000000011110001", когда вы заплатили.
* Мы отправим программу дешифрования для восстановления ваших файлов.
* Сделайте резервную копию этого файла.
# HELPS #
- Как я могу купить цифровую валюту с кредитной или дебетовой карты в США?
https://support.coinbase.com/customer/en/portal/articles/2343234-how-do-i-buy-bitcoin-with-a-debit-card-in-the-us-
- Как отправить цифровую валюту на другой кошелек?
https://support.coinbase.com/customer/en/portal/articles/971437-how-do-i-send-digital-currency-to-another-wallet-
- Как купить биткоин на Coinbase, шаг за шагом
https://www.bitcoinmarketjournal.com/buy-bitcoin-on-coinbase/
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
.dat, .ico, и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
tmpsfn_as.txt
<random>.exe - случайное название
Crypto.Cipher._AES.pyd
и другие
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\_MEI32562\
\AppData\Local\Temp\_MEI32562\Crypto.Cipher._AES.pyd
и другие
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://185.141.62.4/svchost.dll
IP: 185.141.62.4:80 (Болгария)
Email: jduy3jd87dhs@grr.la
BTC: 123PyVpWMSFW6V2qVyywRz7zhEo3K82M8K
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as 010001) Write-up, Topic of Support *
Thanks: Michael Gillespie, Jakub Kroustek Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
