AiraCrop Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от части добавляемого расширения. Создан: TeamXRat. Португалоязычная версия более известна под названием NMoreira (Fake Maktub) Ransomware.
© Генеалогия: XRat > NMoreira ⇔ AiraCrop
© Генеалогия: NMoreira > NMoreira 2.0 > R > NM4
К зашифрованным файлам добавляются расширения:
.airacropencrypted! (середина октября 2016)
.__AiraCropEncrypted! (октябрь 2016)
._AiraCropEncrypted (ноябрь 2016)
Оригинальное имя файла и расширения не изменяются.
Пример зашифрованного файла Документы.rar.__AiraCropEncrypted!
Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.
Записки с требованием выкупа называются: How to decrypt your files.txt
Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files visit one of the link and enter your key;
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Alternative link:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
To access the alternate link is mandatory to use the TOR browser available on the link
xxxxs://www.torproject.org/download/download
Key:
D0809D7FF155EDB51834550***
Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. С помощью шифрования AES256-бит и RSA-2048-бит.
Потому невозможно восстановить файлы без правильного секретного ключа.
Если вы заинтересованы в получении ключа, то посетите одну из ссылок и введите ключ.
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Альтернативная ссылка:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
Для доступа к альтернативной ссылке используйте Tor-браузер, доступный по ссылке
xxxxs://www.torproject.org/download/download
Ключ:
D0809D7FF155EDB51834550 ***
В некоторых вариантах записок упоминается email вымогателей: airacrop@vpn.tg, который также есть на Tor-сайте вымогателей.
Вот другой вариант записки с email и его перевод на русский язык.
Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted, using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files
For information on how to reverse the file encryption
send email to:
airacrop@vpn.tg
enter your KEY in the subject or email body.
=====
Remember your email is not answered within 24 hours,
visit one of the link below to get a new mail contact
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Alternative link:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
To access the alternate link is mandatory to use the TOR browser available on the link
https://www.torproject.org/down!oad/down1oad
Key:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B
=====
Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы, используя шифрование AES256-bit и RSA-2048-бит.
Невозможно восстановить файлы без правильного закрытого ключа.
Если вы интересуетесь получением этого ключа и возврате файлов
Для информации о том, как отменить шифрование файлов
отправьте письмо по адресу:
airacrop@vpn.tg
введите свой КЛЮЧ в тему или адрес электронной почты.
=====
Помните, что на ваш email нет ответа в течение 24 часов,
посетите одну из приведенных ниже ссылок, чтобы получить новый почтовый контакт
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Альтернативная ссылка:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
Для доступа к альтернативной ссылке нужно использовать TOR-браузер, доступный по ссылке
https://www.torproject.org/down!oad/down1oad
Ключ:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B
=====
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
После шифрования удаляются тома теневых копий файлов.
Список файловых расширений, подвергающихся шифрованию:
.bin, .bmp,
.cat, .chm, .csv, .dat, .db, .DeskLink, .doc, .gif, .gitignore, .h, .ico, .inf, .jpg, .lic, .log, .MAPIMail, .ppt, .py, .pyc, .pyd, .pyo, .sam, .shw, .sst, .sys,
.tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpl, .xls, .xml, .ZFSendToTarget ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с AiraCrop Ransomware:
How to decrypt your files.txt - в разных директориях
<random>.exe - случайное название файла
<random> - случайное название файла без расширения
Записи реестра, связанные с AiraCrop Ransomware:
***
Сетевые подключения:
Email: airacrop@vpn.tgTor-URLs: xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxx://6kaqkavhpu5dln6x.onion
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
xxxx://mvy3kbqc4adhosdy.onion
xxxxs://qsx72kun2efdcli2.onion.to/
xxxxs://qsx72kun2efdeli2.onion.link/
xxxx://qsx72kun2efdeli2.onion
Результаты анализов:
VirusTotal анализ >> + VT >>
Степень распространённости: средняя.
Подробные сведения собираются.
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для AiraCrop (NMoreira v.1) >>
Внимательно прочтите инструкцию перед запуском.
*
Read to links:
ID Ransomware (ID as NMoreira)
Topic on BC
Thanks:
Michael Gillespie
al1963
xXToffeeXx
Fabian Wosar
© Amigo-A (Andrew Ivanov): All blog articles.