UnblockUPC Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,18 биткоина или 100 евро, чтобы разблокировать файлы. Название получил от адресов сайтов вымогателей - unblockupc.
К зашифрованным файлам добавляется не расширение, а приставка enc.
Пример зашифрованных файлов с приставкой "enc"
Записки с требованием выкупа называются:
Files encrypted.txt с текстом и uid.txt с идентификатором во всех папках с зашифрованными файлами;
скринлок, встающий обоями с аналогичным текстом;
веб-страницы с расширенным вариантом вымогательского текста.
Текстовые файлы Files encrypted.txt и uid.txt
Записки и exe-файлы (decryptor.exe и einfo.exe) размещаются на рабочем столе, в Документах, в %Temp%, %Users\User_Name\AppData%, %ProgramData% и некоторых других местах системы.
Содержание записки о выкупе "Files encrypted.txt":
You used to download illegal files from the internet.
Now all of your private files has been locked and encrypted!
To unblock them visit one of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://unblockupc.club
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
Your UID: *****
Перевод записки на русский язык (без коррекции):
Ты использовал загрузки нелегальных файлов из Интернета.
Теперь все твои личные файлы блокированы и шифрованы!
Для разблокировки их посети один из этих сайтов:
хттп://unblockupc.xyz
хттп://unblockupc.in
хттп://unblockupc.club
хттп://moscovravir.ru
хттп://213.167.243.215
хттп://185.45.192.17
Твой UID: *****
На указанных выше сайтах можно прочесть подробные требования о выкупе.
Текст со скриншота (красным выделены файлы с ошибками):
Here you can ublock your files
You probably used to download illegal files from the internet...
Well, that's why we encrypted all your private files on your computer.
But fortunately you can ublock them for just... ~100 EURO (0.18 BTC)
I know, you probably don't want to pay but belive me, it's pretty good opportunity for you! We had access to all your private files, your email, facebook, bank account, sometimes credit cards... And we only decided to encrypt your files and get 100 euro, we are not so bad!
There is no other way to unlock your files than paying us. If you want to do this, follow these steps:
1. First of all, we need to know your UID, it is your unique identyfication number, your unlock password is connected with these uid. It is located in uid.txt file on your Desktop or in My Documents/Documents folder.
2. Now you need to put your UID below and press submit
---
This page will work only until 1.10.2016 so better hurry up.
After 1.10.2016 you won't be able to unlock your files
Перевод на русский язык:
Здесь ты можешь ublock файлы
Ты делал загрузки нелегальных файлов из Интернета ...
Потому мы зашифрованы все твои личные файлы на компьютере.
Но, к счастью, ты можешь ublock их за... ~100 EURO (0.18 BTC)
Я знаю, ты, наверно, не хочешь платить, но верь мне, это лучшая возможность для тебя! Мы получили доступ ко всем твоим личным файлам, email, facebook, банковский счет, кредитные карты... И мы лишь решили зашифровать твои файлы и взять 100 евро, мы не так плохи!
Нет иного способа разлочить файлы, чем заплатить нам. Если ты согласен, сделай эти шаги:
1. Сначала, мы должны знать твой UID, это твой уникальный номер идентификации, твой пароль разлочки связан с этим UID. Он есть в файле uid.txt на рабочем столе или в папке Мои документы / Документы.
2. Теперь тебе нужно вставить UID ниже и нажать отправить
---
Эта страница будет работать только до 1.10.2016, так что поторопись.
После 1.10.2016 ты не сможешь разлочить файлы
Слова с ошибками в английском тексте я пометил красным, например: ublock [unlock - разлочить].
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Распространение вышло за рамки одной страны, пострадавшие есть в Европе, США, Японии...
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mm, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .n64, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sq, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xm, .zip (169 расширений).
Пропускаются файлы с расширением .txt, т.к. используются текстовые записки с текстом вымогателей и UID, сгенерированным для ПК.
Файлы, связанные с Ransomware:
C:\Users\User_Name\AppData\Local\Temp\D68E8D0-AB5E775-FC244EF7-7E79FE21
C:\Users\User_Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe
C:\Users\User_Name\AppData\Roaming\uid.txt
%Temp%\einfo.exe
C:\Users\User_Name\Desktop\decryptor.exe
C:\Users\User_Name\Desktop\uid.txt
C:\Users\User_Name\Desktop\Files encrypted.txt
C:\Users\User_Name\Documents\Files encrypted.txt
C:\Users\User_Name\Documents\decryptor.exe
C:\Users\User_Name\Documents\uid.txt
C:\Users\User_Name\Documents\einfo.exe
C:\ProgramData\uid.txt
C:\ProgramData\encfiles.log
C:\ProgramData\encinfo.jpg
C:\ProgramData\uid.txt
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
... и другие.
Если запустить файл decryptor.exe, то он потребует ввести 16-значный "секретный код", который можно получить на указанных выше сайтах вымогателей. При моей проверке они открывались все.
Файл einfo.exe может находиться во временных директориях Temp и самоудаляется, если жертвой запускается decryptor.exe. Последний нужен только для того, чтобы отобразить перед жертвой записку с требованием выкупа, поэтому это совсем не дешифровщик.
Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***
Детект на VirusTotal на файл decryptor.exe >>
Степень распространённости: высокая.
Подробные сведения собираются.
https://id-ransomware.malwarehunterteam.com/index.php http://www.bleepingcomputer.com/forums/t/627582/unblockupc-ransomware-help-support-topic-files-encryptedtxt/ https://www.pcrisk.com/removal-guides/10521-unblockupc-ransomware
Thanks: Michael Gillespie (Demonslay335) Lawrence Abrams (Grinler) Tomas Meskauskas by PCrisk
© Amigo-A (Andrew Ivanov): All blog articles.