BlackPink

BlackPink Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем выкупить декриптор, чтобы вернуть файлы. Оригинальное название: BlackPink, в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Этимология названия: 
BlackPink - название южнокорейской гёрл-группы. Видимо разработчик их фанат. 

К зашифрованным файлам добавляется расширение: .BlackPink


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: how_to_recver_files.txt

Содержание записки о выкупе:
------------------------------
BEGIN KOREAN
------------------------------
조언을 받으십시오 :
모든 파일, 사진 문서 및 데이터는 군용 등급 암호화 RSA AES-256으로 암호화되어 있습니다.
귀하의 정보는 손실되지 않습니다. 그러나 암호화.
파일을 복원하려면 Decrypter를 구입해야합니다.
이 단계에 따라 파일을 복원하십시오.
1 * Tor 브라우저를 다운로드하십시오. (구글에 "Tor 다운로드"만 입력하면됩니다.)
2 * URL 찾아보기 : http://www.google.com
3 * 파일을 복원하려면 Decryptor를 구입하십시오.
그것은 매우 간단합니다. 파일을 복원 할 수 있다고 생각지 않으면 이미지 형식의 파일 1 개를 무료로 복원 할 수 있습니다.
시간이 똑딱 거리고 있다는 것을 알아 두십시오. 가격은 96 시간마다 두 배가되므로 현명하게 사용하십시오.
고유 ID : injection
주의:
암호화 된 파일을 수정하거나 삭제하지 마십시오. 복원하기가 어려울 수 있습니다.
지원하다:
지원 센터에 문의하여 파일의 암호를 해독하는 데 도움을받을 수 있습니다.
------------------------------
END KOREAN
------------------------------

Перевод записки на русский язык:
------------------------------
НАЧАЛО НА КОРЕЙСКОМ
------------------------------
Получить совет:
Все файлы, фотодокументы и данные зашифрованы шифрованием военного класса RSA AES-256.
Ваша информация не потеряна. Тем не менее, зашифрована.
Вы должны приобрести Decrypter, чтобы восстановить ваши файлы.
Выполните следующие действия, чтобы восстановить файлы.
1 * Пожалуйста, скачайте Tor браузер. (Просто введите "Tor Download" в Google.)
2 * Просмотрите URL: http://www.google.com
3 * Для восстановления файлов приобретите Decryptor.
Это очень просто. Если вы не верите, что сможете восстановить свои файлы, вы можете бесплатно восстановить один файл в формате изображения.
Обратите внимание, что время идет. Цены удваиваются каждые 96 часов, поэтому используйте его с умом.
Уникальный идентификатор: инъекция
ВНИМАНИЕ:
Не изменяйте и не удаляйте зашифрованные файлы. Это будет трудно восстановить.
Поддержка:
Вы можете связаться с центром поддержки, чтобы расшифровать файл.
------------------------------
КОНЕЦ НА КОРЕЙСКОМ
------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
how_to_recver_files.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ---
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.