Galacti-Crypter Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 0.2 BTC (~$150), чтобы вернуть файлы. Оригинальное название: Galacti-Crypter 1.7 и 1.8, RANWareV2. На файле написано: RANWareV2 и GL.exe
Обнаружения:
DrWeb -> нет данных
BitDefender -> Trojan.GenericKD.32300856
Malwarebytes -> Ransom.Galacti
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам вместо расширения добавляется ENCx45cR.
Пример зашифрованного файла: ENCx45cRPhoto001.jpg
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Возможно, что он уже был в августе. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Текстовая записка с требованием выкупа отсутствует. Текст содержится внутри экрана блокировки.
Содержание записки о выкупе в экране блокировки:
READ:
IT IS VERY IMPORTANT THAT YOU DO NOT RENAME ANY FILES THAT WERE ENCRYPTED! THIS WILL LEAD TO THAT FILE BEING RE-ENCRYPTED AND THEN WILL BE LOST FOREVER!
Your important files on this computer were encrypted using a public RSA-2048 key, generated for this computer (photos, videos, documents, ect... Click the View Secured Files button to view all of your encrypted files).
Getting rid of this tool will NOT help. You will need this tool to DECRYPT and get access to your files again.
Your private decryption key has been created and stored on a secure and anonymous server. This key will allow you to decrypt all your files. This key is somewhere in the internet, and if payment is not made in the required time, it will be erased off the server permanently, and ALL your files will be permanently lost.
To obtain your private key for this computer, you will need to pay 150.00 USD / 150.00 EUR BitCoin. This is equal to 0.2 Bitcoin that must be paid to decrypt and regain access to all your files.
ANY attempts to remove, tamper or damage this software WILL lead to immediate termination of the private key and ALL your files will be permanently LOST.
Your time remaining is indicated on the left.
If you are ready to make the payment, please click the button below.
Перевод записки на русский язык:
ПРОЧТИТЕ:
ОЧЕНЬ ВАЖНО, ЧТОБЫ ВЫ НЕ ПЕРЕИМЕНОВЫВАЛИ ФАЙЛЫ, КОТОРЫЕ БЫЛИ ЗАШИФРОВАНЫ! ЭТО ПРИВЕДЕТ К ТОМУ, ЧТО ЭТОТ ФАЙЛ БУДЕТ ПОВТОРНО ЗАШИФРОВАН, А ЗАТЕМ БУДЕТ ПОТЕРЯН НАВСЕГДА!
Ваши важные файлы на этом компьютере были зашифрованы с использованием открытого ключа RSA-2048, созданного для этого компьютера (фото, видео, документы и т.д. Нажмите кнопку View Secured Files, чтобы просмотреть все зашифрованные файлы).
Избавление от этого инструмента НЕ поможет. Вам понадобится этот инструмент, чтобы РАСШИФРОВАТЬ и снова получить доступ к вашим файлам.
Ваш личный ключ расшифровки был создан и хранится на безопасном и анонимном сервере. Этот ключ позволит вам расшифровать все ваши файлы. Этот ключ находится где-то в Интернете, и если оплата не будет произведена в течение требуемого времени, он будет удален с сервера навсегда, и ВСЕ ваши файлы будут навсегда потеряны.
Чтобы получить свой закрытый ключ для этого компьютера, вам нужно будет заплатить 150,00 долларов США / 150,00 евро в биткойнах. Это равно 0,2 биткойнам, которые необходимо заплатить, чтобы расшифровать и восстановить доступ ко всем вашим файлам.
ЛЮБЫЕ попытки удалить, подделать или повредить эту программу приведут к немедленному прекращению действия закрытого ключа, и ВСЕ ваши файлы будут утеряны навсегда.
Ваше оставшееся время указано слева.
Если вы готовы сделать оплату, нажмите кнопку ниже.
Скриншоты других окон экрана блокировки.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
GL.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать. Загрузите Emsisoft Decryptor для Galacti-Crypter Ransomware >>
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as Galacti-Crypter) Write-up, Topic of Support *
Thanks: Michael Gillespie, MalwareHunterTeam Andrew Ivanov (author) Emsisoft to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
