N1N1N1 Ransomware
JPA Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует пройти по ссылке в Tor-браузере за инструкциями. В итоге выкуп будет в 1,5 биткоина или более, или менее.
© Генеалогия: семейство N1N1N1
К зашифрованным файлам в код добавляется n1n1n1. Название от него.
Оригинальное расширение зашифрованных файлов не меняется, только после имени добавляется 8-9 случайных символов по шаблону: <original_file_name><8-9_random_characters>.<original_file_extension>
Записки с требованием выкупа называются: how return files.txt и how return files.html. Они размещаются в каждой папке с зашифрованными файлами.
Содержание записки о выкупе:
If you don't speak english then use public online translators https://translate.google.com or https://www.bing.com/Translator or https://www.translate.com
Your files encrypted.
To decrypt and return control to all your encrypted files you need:
1) Go to https://www.torproject.org/download/download-easy.html.en . Download Tor browser for windows.
If you can't open this page then go to https://www.torproject.org and click on button Download.
It will redirect you to page where you can find "Tor Browser for Windows". Download it.
If you still can't download or run tor browser then download, unpack and run the most stable tor browser version here:
https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Install it and run it.
3) Type in the address bar www.hs5br44fuvaazn72.onion/start.php and open our secret website.
4) Secret website will ask you to input your public key.
5) Enter your public key and follow the instructions.
Your public key: ***
If you have any problems while downloading or installing tor browser or opening secret tor site then if you have antivirus then remove or disable it (antivirus can prohibit open tor browser) or try use other computer.
Don't forget that you can browse www.youtube.com and search videos with tor browser installation process.
If you still can't open this secret page then
1) Go to https://mail.google.com (use your usual browser: (firefox, google chrome, ...)
2) If you don't have ...@gmail account then sign up. You will get google (gmail) account.
3) Compose letter and send it to strongonion@sigaint.org
In letter you need type us your public key (see public key above).
4) Soon (in 1 or 2 days), we will send you instructions what you need to do to decrypt your files.
Small remark:
You can compose and send letter using other mail provider (...@aol.com ...@yahoo.com or other)
but we DON'T RECOMMEND you to do it because we are not sure that we will receive your letter!
Перевод записки на русский язык:
Если ты не говоришь по-английски, то используй онлайн-переводчики https://translate.google.com или https://www.bing.com/Translator или https://www.translate.com
Твои файлы зашифрованы.
Для дешифровки и возврата доступа ко всем твоим зашифрованным файлам нужно:
1) Перейти на https://www.torproject.org/download/download-easy.html.en. Скачать Tor-браузер для windows.
Если не удаётся открыть этот сайт, то идти на https://www.torproject.org и нажми кнопку Download.
Это перенаправит на страницу, где можно найти "Tor Browser for Windows". Загрузить.
Если ещё не загрузить или не запустить Tor-браузер, то загрузи, распакуй и запусти самую стабильную версию:
https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Установи и запусти его.
3) Введи в адресной строке www.hs5br44fuvaazn72.onion/start.php и открой наш секретный сайт.
4) Секретный сайт попросит ввести твой открытый ключ.
5) Введи свой открытый ключ и следуй инструкциям.
Открытый ключ: ***
Если у тебя проблемы с загрузкой или установкой Tor-браузера или открытием секретного Tor-сайта, тогда может у тебя есть антивирус, то удали или отключи его (антивирус может мешать Tor-браузеру) или поюзай другой комп.
Не забывай, что можешь на www.youtube.com поискать видео с процессом установки Tor-браузера.
Если ты все еще не можешь открыть эту секретную страницу, то
1) Перейди к https://mail.google.com (используй обычный браузер (firefox, google chrome, ...)
2) Если у тебя нет ...@gmail.com почты, то зарегистрируй и получите google (gmail) аккаунт.
3) Напиши письмо и отправь на strongonion@sigaint.org
В письме нужно написать нам свой открытый ключ (см. открытый ключ выше).
4) Скоро (за 1 или 2 дня), мы вышлем тебе инструкции, что нужно сделать для дешифровки файлов.
Небольшая ремарка:
Можешь написать и отправить письмо через иного провайдера почты (...@aol.com ...@ yahoo.com или иной), но мы НЕ РЕКОМЕНДУЕМ это делать, т.к. не будем уверены в получении твоего письма!
Распространяется с помощью email-спама и вредоносных вложений (*.PDF.exe, *.ZIP.exe), посредством атаки и взлома RDP-подключений.
Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .html, .pdf, .php и другие.
Файлы, связанные с этим Ransomware:
how return files.txt
how return files.html
<random>.exe
Сетевые подключения и связи:
URL: www.hs5br44fuvaazn72.onion
www.uc7k2wj6526xlivj.onion
---
Email: strongonion@sigaint.org
yellowfix@sigaint.org
---
BTC: 16R8JYuK4D5jsgmDKicFBAVYfDwhcK3hvs
185VukzLfaux8Qce4tF9ucWiXzyx32ad7J
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
В разные годы наблюдались отличия, см. обновления.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление на конец сентября 2016:
Записки: decipher.txt и decipher.html
Текст немного изменился: адреса и прочее.
<< Скриншот
Email: yellowfix@sigaint.org
Адрес: uc7k2wj6S26xlivj.onion
Обновление ноябрь-декабрь 2016:
Записки: decipher.txt и decipher.html
Пример зашифрованного файла: filename[A-a,0-9]{13}.pdf
Email: smuso@sigaint.org
Адрес: ***lodkfpsyhi6btroa.onion/decipher.php
Обновление от 15 февраля 2017:
Пост в Твиттере >>
Новый маркер файлов: 333333
Обновление от 21 августа 2018:
Пост в Твиттере >>
К зашифрованным файлам перед оригинальным именем добавляется префикс jpa.
Пример зашифрованного файла: jpa.Document.doc
К записке о выкупе тоже добавляется добавляется префикс jpa., но перед оригинальным расширением.
Записка оригинальная: why files renamed.txt
Записка с префиксом: why files renamed jpa..txt
Сама записка не шифруется.
Email: z44@ruggedinbox.com
BTC: 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J
Как оказалось, этот способ неновый. Майкл обнаружил точно такой же прием у раннего образца этого семейства от 12 июля 2016 года.
➤ Содержание записки:
Sorry, but your files have been encrypted by strong military ciphers RSA and AES and now file begin on jpa.
.
Your own personal key: [redacted 15 lowercase alphanum]
To get decryptor, which will recover all your files, you should transfer 4 bitcoins
on bitcoin address 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J (1 bitcoin = 220 $).
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt this file. And send us your personal key with attached file.
After payment send us your personal key on our mail z44@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Don't use main accounts on hotmail.com or outlook.com because it may block letters.
If we don't answer then please register your own mail account on www.ruggedinbox.com and send us your message again.
For sending bitcoins you can use one of this exchangers from this list -
https://www.ice3x.com
https://bitx.co/za
www.bitcoinzar.co.za
https://localbitcoins.com
(or other bitcoin exchangers that you can search in www.google.com)
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as ) Write-up, Topic of Support *
Thanks: Michael Gillespie, MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.