Aperfectday2018

Aperfectday2018 Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп шведскими кронами SEK в переводе на BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

В качестве выкупа вымогателю нужны 1000 шведских крон

К зашифрованным файлам добавляется приставка (enc)
Пример зашифрованного файла: (enc)my-documents.docx

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: aboutYourfiles.txt

Содержание записки о выкупе:
 Hi. Thank you for using my program. If you're reading this, a lot of your files have been encrypted. To decrypt them, you need my decryption program. For this, I want 25 000 sek, I want them in bitcoin. Email me when you've paid with details about the transaction. I'll give you two days.
If you have not paid in two days(from the day you received the email), It will cost 1000 sek more per day.  
If I have not heard from you after five days (from the day you received the email), I assume your files are not that
important to you. So I'll delete your decryption-key, and you will never see your files again.
After the payment, email me the following information:
* the bitcoin address you sent from (important, write it down when you do the transaction)
* the ID at the bottom of this document (this is important!! Otherwise I don't know which key belongs
to you).
Then I will send you the decryption-program and provide you with instructions of how to remove
the virus if you have not already figured it out.
Email:
aperfectday2018@protonmail.com
Bitcoin adress:  
1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
Make sure to get the bitcoin adress right, copy and paste and double check. If you send the bitcoin
to the wrong adress, it will be lost forever. You cant stop or regret a bitcoin transaction.
IMPORTANT:  
Do not loose this document. You also have a copy of it on your desktop.
Do NOT change any filenames!!! !!!
Thank you for the money, it means a lot to me.  
ID: 3456789012345

Перевод записки на русский язык:
Привет. Спасибо за использование моей программы. Если вы читаете это, многие ваши файлы зашифрованы. Чтобы расшифровать их, вам нужна моя программа дешифрования. Для этого я хочу 25 000 sek, я хочу их в биткоине. Напишите мне на email, когда оплатите, детали транзакции. Я дам вам два дня.
Если вы не заплатили за два дня (с того дня, как вы получили письмо), он будет стоить 1000 sek в день.
Если я не услышал вас через пять дней (с того дня, как вы получили письмо), я предполагаю, что ваши файлы не так важны для вас. Поэтому я удалю ваш ключ дешифрования, и вы больше никогда не увидите свои файлы.
После оплаты напишите мне следующую информацию:
* биткоин-адрес, с которого вы отправили (важно, запишите его, когда вы сделаете транзакцию)
* ID внизу документа (это важно! Иначе случае я не узнаю, какой ключ принадлежит тебе).
Затем я пришлю вам программу дешифрования и предоставлю вам инструкции по удалению если вы еще этого не поняли.
Email:
aperfectday2018@protonmail.com
Биткоин-адрес:
1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
Убедитесь, что биткоин-адрес правилен, скопируйте и вставьте и дважды проверьте. Если вы отправите биткоины на неправильный адресу, он будет потерян навсегда. Вы не остановите или пожалеет о транзакции биткоинов.
ВАЖНО:
Не теряйте этот документ. У вас также есть копия на вашем рабочем столе.
НЕ меняйте имена файлов !!! !!!
Спасибо за деньги, это много значит для меня.
ID: 3456789012345

25 000 sek - это 25000 шведских крон.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
aboutYourfiles.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: aperfectday2018@protonmail.com
BTC: 1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.