PZDC Ransomware
Этот крипто-вымогатель шифрует данные на серверах с помощью GNU Privacy Guard (GnuPG), а затем требует выкуп в 100 Monero, чтобы вернуть файлы. По словам самих вымогателей, ориентирован на любые базы данных, которые могут быть найдены в компьютере. Оригинальное название: в записке не указано. На файле написано: нет данных.
© Генеалогия: предыдущие GnuPG-вымогатели > PZDC
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .pzdc
Этимология названия:
Вымогатели никак не назвали свой шифровальщик, поэтому для названия статьи по традиции было использовано расширение .pzdc, добавляемое к зашифрованным файлам. Слово, скрытое в расширении, понятно любому, кто знаком с русским языком. Фактически оно является международным, но не переводится ни на один язык буквально и в полном соответствии со своим значением.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину - вторую половину июня 2019 г. Первый случай шифрования произошел 14-15 июня. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.
Предлагает использовать для связи специальный "ящик" на подпольном сайте Runion.
Записка с требованием выкупа называется: 1_VIRUS_SHIFROVALSHIK.txt
Содержание записки о выкупе (грамота оригинала):
Здраствуй дорогой друг! Хочу поделиться с тобой успехами нашей команды. Мы вышли на новый уровень в своем мастерстве и теперь мы шифруем только базы данных и то что похоже на их резервные копии. Нам больше не нужны фотографии, документы Ворд, Эксель и прочая информация. Мы собираем деньги только с богатых людей. Если в этот момент ты смотрел ютьюб или порнхаб на своем домашнем десктопе и увидел это сообщение не переживай, мы не тронули твои файлы. Удали этот файл и больше не открывай письма от незнакомых адресов с вложениями. Извини что на**али в твой десктоп.
________________________________________________________________
Если ты тот самый успешный менеджер... Чувак тебе не повезло))) В твоей команде есть глупые люди и за их глупость нужно платить. Нам не нужны биткоины, мы принимаем только монэро. Если тебе дороги твои базы давай договариваться. Мы готовы выслать тебе дешифратор за символическую сумму в 100 Monero(XMR). Для этого тебе необходимо связаться с нами через Tor браузер. Нужно зайти на сайт Runion http://lwplxqzvmgu43uff.onion/ после чего на вкладках найти значок ящика. Чтобы ты не заблудился вкладок всего 7: Манифест, Правила, Связь с Администрацией, Runion Wiki и ящик который тебе нужен.В строке получателя введи этот адрес bbfd729a5a2f. Не закрывай окно ящика или сохрани ссылку которая подсвечивается зеленым цветом в строке "доступ к вашим сообщениям по этой ссылке, сохраните ее и держите в секрете". Если готов к диалогу то обязательно сохрани это публичный ключ
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK-----
По этому ключу мы сможем конкретно для тебя выпустить твой личный дешифратор. Пиши и мы скажем на какой кошелек нужно перевести Monero, где ее купить и какой кошелек для этого лучше всего использовать. Если для тебя все это слишком сложно обратись к своим IT специалистам они в этом разбираются.
________________________________________________________________
Hello dear friend! I want to share with you the success of our team. We have reached a new level in our skills and now we only encrypt databases and what looks like their backup copies. We no longer need photos, documents Word, Excel and other information. We collect money only from rich people. If at that moment you watched YouTube or PornHub on your home desktop and saw this message, don’t worry, we didn’t touch your files. Delete this file and do not open any more letters from unknown addresses with attachments. Sorry I didn't give a shit about your desktop.
________________________________________________________________
If you're the same successful manager ... Dude, you're out of luck))) There are stupid people in your team and you have to pay for their stupidity. We don't need bitcoins, we only accept monero. If you value your bases, let's negotiate. We are ready to send you a decoder for a symbolic sum of 100 Monero (XMR). To do this, you need to contact us through the Tor browser. You need to go to the site Runion http://lwplxqzvmgu43uff.onion/ and then on the tabs to find the box icon. So that you do not get lost tabs total 7: Manifest, Rules, Communication with the Administration, Runion Wiki and the box you need. In the recipient line, enter this address bbfd729a5a2f. Do not close the mailbox window or save the link which is highlighted in green in the line "access your messages via this link, save it and keep it secret". If you are ready for dialogue, be sure to save this public key.
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK-----
According to this key, we can release your personal decoder specifically for you. Write and we will tell on which wallet you need to transfer Monero, where to buy it and which wallet for this is best to use. If all this is too difficult for you to contact your IT specialists, they understand this.
Перевод записки на русский язык:
уже сделан
Средство связи на сайте Runion:
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Шифровальщик генерирует безопасный ключ для AES и защищает его с помощью открытого ECDH-ключа.
➤ Пример зашифрованного файла в окне просмотра PeStudio:
Список файловых расширений, подвергающихся шифрованию:
Ориентирован на любые базы данных, которые могут быть найдены в компьютере.
По словам вымогателей не должны быть зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, которые не являются базами данных.
Файлы, связанные с этим Ransomware:
1_VIRUS_SHIFROVALSHIK.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://lwplxqzvmgu43uff.onion/
Email: -
BTC: -
Monero: 100 XMR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
myTweet
ID Ransomware (ID as ***)
Write-up, Topic of Support
*
Я не знаю, поможет ли...
ЛК предлагает воспользоваться утилитой ScatterDecryptor,
чтобы расшифровать файлы с расширениями .PZDC.
Ссылка на статью и дешифровщик >>
Thanks:
Alex Svirid, Andrew Ivanov (author)
al1963
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.