Atchbo Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в от 0.007 BTC, чтобы вернуть файлы. Оригинальное название: Atchbo Ransomware. На файле написано: Atchbo Ransomware2.0v.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: ExoLock > Atchbo
К зашифрованным файлам добавляется расширение .exo
Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: UnlockYourFiles[0-49].txt
В записке указан новый BTC-адрес, но осталась от ExoLock старая сумма выкупа в 0.01 bitcions.
Содержание текста о выкупе:
All files have been infected
Get decrypt your files in 4 steps
1.Go to "www.anycoindirect.eu/en/buy/bitcoins"
2.Pay 0.007 bitcoins to the BITCOIN Address in one of the Desktop Text Files
3.Once confirmed your files will be decrypted
4. And you can ENJOY your computer
BTC Address: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
Перевод текста на русский язык:
Все файлы были заражены
Расшифруйте свои файлы за 4 шага
1. Идите на "www.anycoindirect.eu/ru/buy/bitcoins"
2. Платите 0.007 биткоина на BITCOIN-адрес в одном из текстовых файлов на рабочем столе
3. После подтверждения ваши файлы будут расшифрованы
4. И вы сможете НАСЛАЖДАТЬСЯ своим компьютером
BTC адрес: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Удаляет теневые копии файлов на диске "C" командой:
vssadmin.exe delete shadows /for=c: /all
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Atchbo Ransomware2.0v.exe
ExoGUI.exe
UnlockYourFiles[0-49].txt
Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: exolockexolock.000webhostapp.com (145.14.145.179 Нидерланды)
BTC: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 21 января 2018:
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
URLs:
xxxx://basicinfo-logsnotif00.000webhostapp.com/recovery-answer.html
xxxx://panampekanbaru123.000webhostapp.com/cekpoint-loogin-1.html
xxxx://juijd.000webhostapp.com/
xxxxs://sites-fb-recovery-2018.000webhostapp.com/recovery-answer.html
Результаты анализов: HA + VT
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
URLs:
xxxx://basicinfo-logsnotif00.000webhostapp.com/recovery-answer.html
xxxx://panampekanbaru123.000webhostapp.com/cekpoint-loogin-1.html
xxxx://juijd.000webhostapp.com/
xxxxs://sites-fb-recovery-2018.000webhostapp.com/recovery-answer.html
Результаты анализов: HA + VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Atchbo) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Michael Gillespie Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.