BugWare Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA для ключа, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BugWare. На файле написано: PDF DOCUMENT и doc_2017100200000-15.pdf.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется составное расширение по шаблону .[SLAVIC@SECMAIL.PRO].BUGWARE
Изображение жука в шифровальщике
Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: отсутствует. Текст о выкупе скрыт в экране блокировки.
Запиской с требованием выкупа выступают экран блокировки и изображение, встающее обоями рабочего стола.
Содержание текста о выкупе:
Olá,
Infelizmente, todos seus arquivos pessoais e banco de dados foram criptografados com algoritmos usados pelo governo com uma chave de 256 bits, mas não se assuste, ha uma solução fácil e segura para obter seus arquivos de volta, pagando a quantia de MIL REAIS em uma moeda virtual chamada MONERO para o Endereço que se encontra logo acima.
-
Assim que o você fizer o pagamento envie para o meu Email o codigo gerado na transação junto com a Sua Identificação que se encontra logo acima e também a senha criptografada com RSA-2048 que se encontra no campo de texto acima.
-
Atenção:
Não perca seu tempo procurando soluções para descriptografar de graça os arquivos usando programas na INTERNET,eles corromperão seus arquivos tornando a descriptografia impossivel mesmo com a chave correta.
VOCÊ TEM APENAS 72HORAS PARA FAZER 0 PAGAMENTO E DESCRIPTOGRAFAR SEUS ARQUIVOS CASO CONTRARIO SEUS ARQUIVOS SERÃO APAGADOS!
-
COMO COMPRAR MONERO:
Para comprar monero você precisa comprar bitcoins, use o site https://foxbit.com.br/
para comprar bitcoin,depois de comprado,compre o monero com seu bitcoin no site https://poloniex.com/
Abaixo alguns tutoriais no youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
CASO QUEIRA PAGAR EM OUTRA CRIPTOMOEDA ENTRE EM CONTATO PELO EMAIL ACIMA!
-
Перевод текста на русский язык:
Привет,
К сожалению, все ваши личные файлы и базы данных были зашифрованы с помощью правительственных алгоритмов с ключом 256-бит, но не паникуйте, есть простое и безопасное решение для возврата ваших файлов путем оплаты тысячи реалов в одну виртуальную валюту, называемую MONERO, на адрес, который находится чуть выше.
-
Как только вы сделаете платеж, отправьте на мой E-mail код, сгенерированный в транзакции, вместе с вашим Идентификатором, который находится выше, а также пароль, зашифрованный с помощью RSA-2048, который находится в текстовом поле выше.
-
Обратите внимание:
Не тратьте время на поиск решений для дешифрования файлов с помощью программ в сети Интернет, они испортят ваши файлы, что сделает невозможным дешифрование даже с помощью правильного ключа.
У ВАС ЕСТЬ ТОЛЬКО 72 ЧАСА, ЧТОБЫ СДЕЛАТЬ ОПЛАТУ И
РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ, ИНАЧЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ!
-КАК КУПИТЬ MONERO:
Чтобы купить monero, вам нужно купить биткоины, используя сайт https://foxbit.com.br/
купить биткойн, после покупки купить monero на ваши биткоины на сайте https://poloniex.com/
Ниже несколько руководств на Youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
ЕСЛИ ВЫ ХОТИТЕ ПЛАТИТЬ В ДРУГИХ КРИПТОВАЛЮТАХ СВЯЖИТЕСЬ C НАМИ ПО EMAIL ВЫШЕ!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
doc_2017100200000-15.pdf.exe (7-zip)
bugware.exe или <random>.exe
bugware.bmp или wpp.bmp - изображение на обои Рабочего стола
Lista.log
Расположения:
%AppData%\Lista.log
%Desktop%\bugware.bmp
Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BUGWARE\
HKCU\SOFTWARE\BUGWARE\Arquivos
HKCU\SOFTWARE\BUGWARE\Chavepriv8
HKCU\SOFTWARE\BUGWARE\Enviado
HKCU\SOFTWARE\BUGWARE\ID
HKCU\SOFTWARE\BUGWARE\prazo
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: slavic@secmail.pro
URL: xxxx://dedamento-vendas.xyz/***
xxxx://getrichordietryin.xyz/***
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 12 октября:
Пост в Твиттере >>
https://twitter.com/malwrhunterteam/status/918403062993182720
Расширение: .[SLAVIC@SECMAIL.PRO].CRIPTOGRAFADO
На файле написано: D.O.C.U.M.E.N.T.O
Файлы: boleto-atualizado-7853.docx.scr и boleto-atualizado-7852.exe
BTC: 1PNFVruiLaN4Bh8Jgbw5LEjMaxGBMZvoXc
Результаты анализов: VT
Скриншоты экрана блокировки, списка стран и обоев рабочего стола.
Срок уплаты выкупа увеличился с 72 часов до 168 (неделя), но так ли это.
Разработчик оставил в ресурсах неприятный мем о женщинах с надписями в виде поговорки.
Обновление от 18 октября 2017:
Пост в Твиттере >>
Расширение: .[MAXVISION@SECMAIL.PRO].CRIPTOGRAFADO
Файлы: conversa-whatsapp-backup.scr
*
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as BugWare) Write-up, Topic of Support *
Added later: Write-up by Zscaler (December 2, 2017) * *
Thanks: MalwareHunterTeam Michael Gillespie Zscaler *
© Amigo-A (Andrew Ivanov): All blog articles.