Brazilian (Able) Ransomware
(шифровальщик-вымогатель)
Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 2000 реалов (543.88 USD), чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .lock.
© Генеалогия: EDA2 >> Brazilian (Able) — cоздан на основе EDA2.
Записки с требованием выкупа и вспомогательные файлы для информирования жертвы называются:
MENSAGEM.txt
text.txt
win.txt
ran.jpg
файл ran.jpg
файл MENSAGEM.txt
файл text.txt
файл win.txt
Olá Sr(a),
TODOS os seu arquivos foram BLOQUEADOS e esse bloqueio somente serão DESBLOQUEADOS caso pague um valor em R$ 2000,00 (dois mil reais) em BitCoin.
Após o pagamento desse valor, basta me enviar um print para o email contato@vkcode.ru
que estarei lhe enviado o programa com a senha para descriptografar/desbloquear o seus arquivos.
Caso o pagamento não seja efetuado, todos os seus dados serão bloqueados permanentemente e o seu computador será totalmente formatado(perdendo assim, todas as informações contidas nele, incluindo senhas de email, bancárias...)
O pagamento deverá ser efetuado nesse endereço de bitcoin: 1CF6M1---обрезано---
Para converter seu saldo em bitcoin acesse o site: xxxxs://www.mercadobitcoin.com.br/conta/register/
Após cadastrar basta seguir o processo na aba de depósito, após depositar o seu dinheiro aparecerá a opção para converter em bitcoin e então basta enviar o dinheiro para minha carteira: 1CF6M1---обрезано---
Qualquer dúvida acesse: xxxxs://www.mercadobitcoin.com.br/faq/
Ou assista um vídeo explicativo: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No
Перевод на русский:
Привет Сеньор(а)
Все ваши файлы зашифрованы и будут разблокированы только в случае уплаты R$ 2000,00 (2000 реалов) в Bitcoin.
После оплаты этой суммы, просто пришлите мне распечатку на email contato@vkcode.ru
Я пришлю программу с паролем для расшифровки/разблокировки файлов.
Если оплата не поступит, все ваши данные будут заблокированы навсегда, а диски отформатированы...
Оплата должна быть произведена на Bitcoin-адрес:
---адрес---скрыт---
Для преобразования баланса в Bitcoin посетите: xxxxs://www.mercadobitcoin.com.br/conta/register/
После регистрации следите за процессом оплаты, вскоре появится возможность конвертировать деньги в Bitcoin, а затем просто отправить деньги в Bitcoin-кошелек:
---адрес---скрыт----
По любым вопросам, пожалуйста, посетите: xxxxs://www.mercadobitcoin.com.br/faq/
Или просмотрите видео-помощь: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No
Технические детали
Распространяется с помощью поддельного обновления Adobe Flash Player и фишинг-писем со ссылкой на зараженный сайт, где ПК атакуется с помощью этого поддельного обновления.
Вымогатель начинает работу в скрытом режиме (его процесс не отображается в диспетчере задач), создает копию себя able.exe в директории пользователя, генерируется имя и пароль для шифрования файлов, длина ключа составляет 15 буквенно-цифровых символов, которые хранится в файлах text.txt (имя_компьютера + имя_пользователя + пароль) и win.txt (пароль) соответственно.
Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).
Файлы связанные с Brazilian Ransomware:
файл text.txt - создается в той же папке, откуда был запущен исполняемый файл вымогателя;
C:\Users\User_Name\win.txt - файл для хранения пароля шифрования;
C:\Users\User_Name\able.exe - копия исполняемого файла вымогателя;
C:\Users\User_Name\ran.jpg - замена обоев на Рабочем столе;
C:\Users\User_Name\Desktop\MENSAGEM.txt - краткое текстовое сообщение с извещением о том, что файлы зашифрованы и требованием посетить одну из трёх веб-страниц для получения подробной информации, например, эту http://pastebin.com/raw/j9zCCu8n.
Сетевые подключения и связи:
Email: contato@vkcode.ru
Степень распространенности: средняя по Бразилии.
Подробные сведения собираются.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Brazilian Ransomware) Write-up, Topic of Support *
Thanks: Michael Gillespie * * *
© Amigo-A (Andrew Ivanov): All blog articles.