Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 23 декабря 2018 г.

Tunca, KGDecrypt

Tunca Ransomware

KGDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 100€ или 115$ или эквиваленты других валют, а также предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.. Оригинальное название: вероятно KGDecrypt (упоминается в тексте). На файле написано: Windows.

© Генеалогия: HiddenTear >> Tunca

К зашифрованным файлам добавляется расширение: .tunca 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен во второй половине декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё в разработке. Шифрует некоторые файлы. Работа нестабильна. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Ooops, it seems like all of your files have been encrypted with AESencryption algorithm.
Can I get my files back?
-Yes, you can. But you need this following software : KGDecrypt
-Without the software, no one can decrypt your files
How do I pay?
-Simply buy a 100€ Paysafecard
-Send a message with the Paysafecard PIN to this account:
Lockify@protonmail.com
-Wait for us to confrim your payment
-Get the decryptor
---
However, there is a way to get a free decryptor!
How to get the free decryptor?
-Create a link on grabify that will download your victim the ransomware
-With this, infect at least 10 people
-Send proof to: Lockify@protonmail.com
-Get your decryptor

Перевод записки на русский язык:
Ой, кажется, что все ваши файлы были зашифрованы с помощью алгоритма AES шифрование.
Могу ли я вернуть свои файлы?
-Да, можешь. Но тебе нужно эта следующая программа: KGDecrypt
-Без программы никто не сможет расшифровать твои файлы
Как мне оплатить?
-Просто купить Paysafecard 100 €
-Отправить сообщение с PIN-кодом Paysafecard на этот счет:
Lockify@protonmail.com
-Подождать нас, чтобы подтвердить твой платеж
-Получить расшифровщик
---
Однако есть способ получить бесплатный расшифровщик!
Как получить бесплатный расшифровщик?
-Создать ссылку на grabify, которую загрузит ваша жертва вымогателя
-При этом заразить не менее 10 человек
-Отправить подтверждение: Lockify@protonmail.com
-Получить декриптор



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Примечательно, что вымогатель предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lockify@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать! Там статический пароль. 
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *