BitLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.22 до 1-2 BTC или больше, чтобы вернуть файлы. Оригинальное название: BitLocker, bitlocker.
👉 Вымогатели показательно использовали BitLocker, включенный в ОС Windows Professional и Enterprise, чтобы шифровать файлы. BitLocker оказался уявимым легитимным ПО шифрования данных. Из-за этого злоумышленники смогли использовать его для шифрования файлов на ПК пострадавших и вымогательства у них денег.
Позже некоторые пострадавшие купили пароль у вымогателей и несколько раз подтвердили, что использовался пароль: =-0987654321!@#$%^&*()_++_)(*&^%$#@!
После 16 июля 2016 года этот пароль был изменен.
После 16 июля 2016 года этот пароль был изменен.
Активность этого крипто-вымогателя началась в 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Согласно данным от пострадавших, злоумышленники не прекращали свою вымогательскую деятельность на протяжении нескольких лет.
Последний пострадавший сообщил о продолжающемся вымогательстве в декабре 2020 года. То, что выплаты до сих пор активны, подтверждается новым BTC-адресом, на который поступают биткоины. Кошельки регулярно меняются.
Записка с требованием выкупа называется: PLEASE READ.txt
Записка с требованием выкупа называется: PLEASE READ.txt
Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM as fast as you can and email me at sociopatii@yahoo.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( sociopatii@yahoo.com ) if you wanna get the bitlocker password. Thanks for your time!
Привет всем.
Я хотел бы сказать вам, первое, сожалею об этом. Ваши документы, файлы, базы данных на месте или некоторые ваши локальные данные перемещены. Если хотите вернуть доступ к вашему локальному диску, всем вашим файлам, документам и т.д., пошлите 1 BTC (биткойн) на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM как можно быстрее и напишите мне на email sociopatii@yahoo.com Если вы не знаете, что есть биткойн, спросите меня о веб-сайте биткойн, где вы можете купить его быстро, или ищите в Google местный биткойн-магазин или банкомат и пошлите 1 BTC на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Я не виноват, если вы отформатируете диск и все потеряете. Есть только один путь вернуть все и восстановить доступ к вашему локальному жесткому диску, и этот путь прислать 1 биткойн на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Это просто бизнес, не попытка получить ваши деньги, а затем не дать вам bitlocker пароль. Жду вашего ответа на мой email адрес sociopatii@yahoo.com, если вы хотите получить bitlocker пароль. Спасибо за ваше время!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Шифруются локальные и внешние диски, и все пользовательские файлы на них.
Среди них наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.
Файлы, связанные с этим Ransomware:
PLEASE READ.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Файлы, связанные с этим Ransomware:
PLEASE READ.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Пароль для расшифровки файлов:
=-0987654321!@#$%^&*()_++_)(*&^%$#@!
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
Обновление от 19 октября 2015:
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: sociopatii@yahoo.com
Первая выплата на этот кошелек: 15 февраля 2015 года.
Последняя выплата: 14 января 2016 года.
См. скриншоты с датами и суммой, набранной вымогателями.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 19 октября 2015:
Email: sociopatii@yahoo.com
За неимением более раннего варианта записки, эти данные также указаны в основной статье. На этот BTC-кошелек платежи поступали уже с 15 февраля 2015 года.
Обновление от 23 декабря 2020:
Обновление от 20-27 октября 2015:
Email: cage1@gmx.us
➤ Содержание записки:
Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 as fast as you can and email me at cage1@gmx.us If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( cage1@gmx.us ) if you wanna get the bitlocker password. Thanks for your time!
---
Скриншоты кошелька вымогателей:
Первая выплата на этот кошелек: 20 октября 2015 года.
Последняя выплата: 14 января 2016 года.
См. скриншоты с датами и суммой, набранной вымогателями.
=== 2016 ===
Обновление от 1 мая 2016:
Записка: PLEASE READ.txt
Email: datebatut@gmail.com, datebatut@pochta.com
➤ Содержание записки:
Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 2 BTC (Bitcoin) to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS as fast as you can and email me at datebatut@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 2 BTC to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 2 Bitcoin to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( datebatut@gmail.com or datebatut@pochta.com if the gmail not work ) if you wanna get the bitlocker password.
Please do not hesitate to contact me should you have any questions or concerns.
Thanks for your time!
---
Скриншоты кошелька вымогателей:
Первая выплата на этот кошелек: 19 января 2016 года.
Последняя выплата: 13 июля 2016 года.
См. скриншоты с датами и суммой, набранной вымогателями.
=== 2017 ===
Обновление от 20 февраля 2017:
Помещает файлы в виртуальный жёсткий диск (VHD), затем требует выкуп в 0.5 BTC.
Email: davidblainemagique@gmail.com, davidblaine@mail2world.com
Записка: PLEASE READ.txt
➤ Содержание записки:
Hello there. You can also use https://translate.google.com/
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local data please send 0.5 BTC (Bitcoin) to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch as fast as you can and email me at davidblainemagique@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 0.5 BTC to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker passoword. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 0.5 Bitcoin to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals
Disk so this is the only chance to get all back. Waiting for your reply to my email address ( davidblainemagique@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com ) if you wanna get the bitlocker password.
If you have any questions please feel free to contact me at anytime.
Thanks for your time!
PS: Your files are here on VIRTUAL HARD DISK the location is here
C:\drivers\s.vhd
See here how to open your drive
https://www.youtube.com/watch?v=m3Pxn23dFuQ
---
Скриншоты кошелька вымогателей:
Первая выплата на этот кошелек: 19 ноября 2016 года.
Последняя выплата: 26 марта 2017 года.
См. скриншоты с датами и суммой, набранной вымогателями.
=== 2018 ===
=== 2019 ===
=== 2020 ===
Email: bitlockerlock.unlock@gmail.com, davidblaine@mail2world.com
Новый BTC-кошелек: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
➤ Содержание записки:
Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your encrypted local data. If you want to regain access to your local data please send 500 AUD in BTC (Bitcoin) to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8 fast as you can and email me at bitlockerlock.unlock@gmail.com to get your bitlocker password to unlock all data. You can buy bitcoin(legal cryptocurrence in your country, so no any illegal stuff) using bank wire, credit\debit card, paypal, almost all payments method worldwide. Very easy and secure to buy bitcoin from your location. You have to pay for decryption in Bitcoins. After payment we will send you the bitlocker key that will decrypt all your files. If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 500 AUD in BTC to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker password. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 500 AUD in BTC Bitcoin to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
After payment, we will send you the Bitlocker password that will decrypt all your files instantly. It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals Disk so this is the only chance to get all back. Waiting for your reply to my email address ( bitlockerlock.unlock@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com ) for bitlocker password.
If you have any questions please feel free to contact me at anytime.
GET 20% OFF IF YOUR PAYMENT IS DONE IN 24 HOURS.
bitlockerlock.unlock@gmail.com
Thanks for your time!
---
Примечательно, что в записке сумма выкупа указана в австралийских долларах (AUD).
---
Скриншоты кошелька вымогателей:
Первая выплата на этот кошелек: 30 ноября 2020 года.
Последняя выплата: 23 декабря 2020 года.
См. скриншоты с датами и суммой, набранной вымогателями.
---
Еще адреса:
unlock.locked.bitlocker@gmail.com
bitlockerlock.unlock@gmail.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author), quietman7 to the victims who reported on the forum *** ***
© Amigo-A (Andrew Ivanov): All blog articles.