PowerLocky Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует файлы с помощью AES-128, а затем требует выкуп в $500, эквивалентных 0.74290893 BTC, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locky.
© Генеалогия: PoshCoder > Powerware > PowerLocky
PowerLocky подражает крипто-вымогателю Locky, потому получил свое название от сложения названий вымогателей Powerware и Locky. PowerWare является продолжением PoshCoder, шифровальщика известного с 2014 года, и распространяется аналогично PoshCoder, т.е. через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell, отсюда и название PowerWare.
Remove PowerLocky Decrypt Powerware Decode Restore files Recovery data Удалить PowerLocky Как Дешифровать Расшифровать Восстановить файлы
Записка о выкупе называется _HELP_instructions.html
На TOR-сайте, который используют вымогатели, упомянут Locky Decrypter.
Текст с экрана:
We present a special software Locky Decrypter
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?
1. Download and install Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins, the price is 500 $ / 0.74290893 BTC and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed eartier. From there, hit the "Send" tab. Send the remaining BTC (bitcoin) to this Bitcoin-wallet address: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2
Now submit the form below, only if you've actually sent the Bitcoins. Upon manual verification of the transaction you will receive the decrypter through email within 12 hours. ALL of your files/data will then be unlocked and decrypted automatically, HTML ransom files will also be removed.
Do NOT remove HTML ransom files or try to temper files in any way, because decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again!
Перевод на русский:
Мы представляем специальный софт Locky Decrypter
которая может дешифровать и вернуть все ваши зашифрованные файлы.
Как купить Locky Decrypter?
1. Загрузите и установите приложение Multibit. Оно создаст вам адрес на Bitcoin-кошелек. Вы его найдете во вкладке "Request". Вставьте его в поле ниже "Your BTC-address".
2. Купите биткоины на сумму $500 / 0,74290893 BTC и отправьте на адрес вашего Bitcoin-кошелека, они будут отображаться в приложении Multibit, что вы ранее установили. Оттуда нажмите на вкладку "Send". Отправьте остаток BTC (Bitcoin) на адрес Bitcoin-кошелька: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2
Потом заполните форму ниже, только если вы на самом деле послали биткоины. При ручной проверке сделки вы получите Decrypter по email в течение 12 часов. ВСЕ ваши файлы/данные будут автоматом разблокированы и расшифрованы, HTML-файлы о выкупе будут удалены.
Не удаляйте эти HTML-файлы и подобные файлы ни в коем случае, потому что Decrypter не будет работать.
Пожалуйста помните, это единственный способ получения доступа к вашим файлам!
Для распространения использует email-спам с вредоносным вложением, эксплуатируя возможности Microsoft Word и PowerShell, языка сценариев Microsoft Windows.
При установке, PowerShell, расположенный по адресу %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1, извлекает исполняемый файл вымогателя и запускает его в качестве сценария. После запуска вымогатель начинает шифровать данные на всех дисках и добавлять расширение .locky к именам зашифрованных файлов. Он также создаст записку с требованием выкупа в каждой папке, в которой есть зашифрованные файлы.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений).
Детект на VirusTotal >>>
Эксперты Palo Alto создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку. Майкл Джиллеспи из BleepingComputer придал этому инструменту привычный для пользователей вид, снабдив его интерфейсом. Эта версия PowerWare получила название PowerLocky, из-за его подражание работе реального Locky. Прикрываясь названием более сложного крипто-вымогателя, злоумышленники хотят запугать жертву и принудить её заплатить выкуп как можно быстрее.
Степень распространенности: низкая
Подробные сведения собираются.
Внимание!!!
Для зашифрованных файлов есть декриптер.