JoeGo Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на языке Go.
© Генеалогия: Родство на основе Go по ссылке на IntezerAnalyze >>
К зашифрованным файлам добавляется расширение: .LOCKED
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на чешскоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: precist.html (чеш. "прочти")
Содержание записки о выкупе:
Tvé soubory byly zašifrovány!
----------------
Zbývájici čas
95:53:03
----------------
Co se stalo s mými soubory?
Tvé dokumenty, fotografie, hudba, filmy a mnoho dalších souborů bylo zašifrováno.
Kliknutím na tlačítko "Zobrazit seznam zašifrovaných souborů" si můžeš prohlédnout soubory, které jsem ti nechal zašifrovat. Tyto soubory mohou být obnoveny pouze tehdy, pokud dodržíš níže uvedený postup.
[Zobrazit seznam zašifrovaných souborů]
Jak lze obnovit mé soubory?
Tvá data byla zašifrována unikátním klíčem pomocí silného šifrovacího algoritmu AES. Tento unikátní klíč byl zašifrován pomocí veřejného klíče algoritmem RSA a následně byl uložen na tvém počítači. K dešifrování tvých souborů budeš potřebovat privátní klíč. Tento privátní klíč je uložen na našem serveru. Privátní klíč jsem ti bude poskytnut po zaplacení finančního poplatku. Na uhrazení poplatku máš 96 hodin od zašifrování dat. Pokud lhůtu na uhrazení poplatku nedodržíš, bude privátní klíč na serveru smazán. Nikdo pak nebude moct tvá data dešifrovat, přijdeš o ně natrvalo.
Jak mám dále postupovat?
Tvé unikátní ID je 332845.
Částku v hodnotě 0.05 BTC převeď pomocí platební brány, která je uvedená níže.
Poté postačí chvíli počkat, dešifrování tvých souborů proběhne automaticky po obdržení požadované částky.
[Přejít na platební bránu.]
Перевод записки на русский язык:
Ваши файлы были зашифрованы!
----------------
Осталось время
95:53:03
----------------
Что случилось с моими файлами?
Ваши документы, фотографии, музыка, фильмы и многие другие файлы были зашифрованы.
Нажав кнопку "Просмотр списка зашифрованных файлов", вы можете просмотреть файлы, которые я вам зашифровал. Эти файлы могут быть восстановлены, только если вы выполните следующую процедуру.
[Просмотр списка зашифрованных файлов]
Как мне восстановить мои файлы?
Ваши данные были зашифрованы уникальным ключом с использованием мощного алгоритма шифрования AES. Этот уникальный ключ был зашифрован с помощью открытого ключа с использованием алгоритма RSA и затем сохранен на вашем компьютере. Вам понадобится закрытый ключ для расшифровки ваших файлов. Этот закрытый ключ хранится на нашем сервере. Я дам вам закрытый ключ после оплаты финансового сбора. У вас есть 96 часов от шифрования данных для оплаты. Если вы не внесете плату, закрытый ключ на сервере будет удален. Тогда никто не сможет расшифровать ваши данные, вы потеряете их навсегда.
Как мне продолжить?
Ваш уникальный ID 332845.
Переведите сумму 0.05 BTC, используя платежный шлюз, указанный ниже.
Затем просто подождите некоторое время, расшифровка ваших файлов будет произведена автоматически после получения нужной суммы.
[Перейти к платежному шлюзу.]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.accdb, .avi, .bmp, .doc, .docx, .htm, .html, .jpeg, .jpg, .mp3, .pdf, .rar, .rtf, .txt, .zip и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
precist.html
AppSrv.exe
.key
.rvid
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://nebezpecnyweb.eu/*** {exe}
URL: xxxx://lodosk.cz/ - compromised
URL: xxxx://gastroprace.cz/ - compromised
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis AppSrv.exe >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as JoeGo Ransomware) Write-up, Topic of Support *
Thanks: S!Ri, Michael Gillespie Andrew Ivanov (author) * to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
