EnkripsiPC Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, кроме того в коде упоминаются: Indonesian Ransomware v3, IDRANSOMv3. Разработчик: humanpuff69.
© Генеалогия: DetoxCrypto(?) >> EnkripsiPC
К зашифрованным файлам добавляется расширение .fucked
Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на индонезийских пользователей, в коде даже прямо указано, что "Ransomware that encrypt all your files with indonesian language" (Вымогатель, шифрующий все ваши файлы на индонезийском языке). Этот факт, конечно же, не мешает распространять его по всему миру и заражать другие компьютеры.
Запиской с требованием выкупа выступает экран блокировки и диалоговое окно. Я сделал анимацию, показывающую, как по нажатию кнопки "Kembalikan File Saya!" открывается нижняя часть экрана, и перевёл текст с индонезийского на русский.
Содержание записки о выкупе:
EnkripsiPC
SEMUA FILE ANDA TELAH TER ENKRIPSI
Assalamualaikum Wr Wb
Kami telah Mengenkripsi semua file anda
alhasil file anda TIDAK BISA DIBUKA
dan semua file anda berekstensi .fucked
untuk mengembalikan semua file anda
silahkan bayar kepada kami agar kami
memberikan kode untuk mengembalikan
semua file anda
jika anda diam saja tidak melakukan apa apa
data anda tidak akan pemah bisa dibuka
sampai anda membayar kepada kami
itu saja sekiian dari kami
wassalamualaikum wr wb
---
button "Kembalikan File Saya!"
---
Cara Mengembalikan File Anda
1. Silahkan Minta Kode Pembuka Kepada Kontak Berikut
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Bayar Denda Sesuai yang disuruh
Biaya Pengembalian file:
Rp 50.000 - Rp 100.000
3. Setelah melakukan pembayaran anda akan diberi kode untuk dimasukan dibawah sini untuk mengembalikan file anda...
button "BUKA"
Перевод записки на русский язык:
EnkripsiPC (Шифрование ПК)
Все ваши файлы зашифрованы
Ассалямалейкум Wr Wb (User)
Мы зашифровали все файлы
следовательно, твои файлы не удастся открыть
и все твои файлы с расширениями .fucked
чтобы восстановить все файлы
пожалуйста, пришли нам, чтобы мы
предоставили код для восстановления
всех твоих файлов
если ты молчишь ничего не делаешь
никогда не будут раскрыты твои данные
пока ты не заплатишь нам
это просто, так многие из нас делают
Вассаламалейкум Wr Wb (User)
---
кнопка "Восстановить Мои Файлы!"
---
Как восстановить файлы
1. Спроси код разблокировки здесь, чтобы связаться
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Заплатить выкуп на эту сумму:
Rp 50.000 - Rp 100.000
3. После выполнения оплаты тебе будет предоставлен код, который нужно ввести здесь, чтобы восстановить файлы
[нажать кнопку "BUKA"]
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Для выполнения шифровальщика требуются права администратора, под ограниченной учетной записью оно не может выполниться.
Перевод диалога на русский:
ВНИМАНИЕ !!!
Это приложение было запущено с ограниченными правами.
Для его правильной работы требуется
Запустить его от имени администратора.
Список файловых расширений, подвергающихся шифрованию:
.bin, .dat, .doc, .exe, .ini, .log, .manifest, .pif, .prx, .xml,
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
AutoUBLhack0.97.exe
CheatPBG161218.exe
Фальш-имя: Intaller Install Program
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>
Обновление от 20 января 2017:
Пост в Твиттере >>
Название: DNRansomware
Расширение: .fucked
Код для дешифровки:
83KYG9NW-3K39V-2T3HJ-93F3Q-GT
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as EnkripsiPC) Write-up
Thanks: BleepingComputer Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.