BRC Ransomware
LazagneCrypt Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название и название проекта: brc. На файле написано: brc.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .encr
Для справки:
LaZagne - это приложение с открытым исходным кодом, используемое для получения паролей, сохранённых на локальном компьютере.
SwissDisk - это облачное хранилище в Интернете, опирающееся на криптографию секретного ключа и SSL, позиционируется как безопасное.
Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: нет данных.
Содержание записки о выкупе (текст представлен кусками):
Personal files on your computer have been encryptedwith strong AES encryptionusing a unique key generated for your computer.
Any attempt to decrypt your files or remove this program will render your files unaccessible forever!
-
If you wish to regain access to your files, please transfer as soon as possible
If you fail to comply within 36h, the ransom will be raised. You have been warned.
After we have received your payment, all encrypted files on your computer will be unencrypted automatically.
If you're not familiar with bitcoins, you can buy them via PayPal or bank transfer at: xxxx://anycoindirect.eu/
-
You can also send emails cursing us or wishing us death, so that emails from people who paid and really need help won't be read.
-
We have received your payment and will now proceed to decrypt your files.
Please do not close this window or shut down your computer until the process is finished.
-
I already paid, but my filesare not being decrypted.
We will look into the problem and, if we need your assistance in solving it, send you instructions on how to decrypt your files.
Перевод записки на русский язык:
Персональные файлы на вашем компьютере были зашифрованы с сильным шифрования AES с уникальным ключом, сгенерированным для вашего компьютера.
Любая попытка расшифровать ваши файлы или удалить эту программу сделает ваши файлы недоступными навсегда!
-
Если вы хотите вернуть доступ к своим файлам, пожалуйста, отправьте их как можно скорее
Если вы не выполнили в течение 36 часов, выкуп будет увеличен. Вы были предупреждены.
После того, как мы получим платеж, все зашифрованные файлы на вашем компьютере будут автоматически расшифрованы.
Если вы не знакомы с биткоинами, вы можете купить их через PayPal или банковским переводом по адресу: xxxx://anycoindirect.eu/
-
Вы также можете отправлять email, проклиная нас или желая смерти, чтобы email от людей, которые заплатили и действительно нуждаются в помощи, не были прочитаны.
-
Мы получили ваш платеж и перейдем к расшифровке ваших файлов.
Не закрывайте это окно или не выключайте компьютер до завершения процесса.
-
Я уже заплатил, но мои файлы не дешифруются.
Мы рассмотрим проблему и, если вам нужна наша помощь в ее решении, отправим инструкции о расшифровке файлов.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
👉 LazagneCrypt использует инструмент LaZagne для извлечения учетных данных и SwissDisk для загрузки дампов паролей в облачное хранилище. Таким образом, кроме шифровальщика, это еще и похититель паролей.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
brc.exe
Security.lnk
Расположения:
\Windows\Start Menu\Programs\Startup\Security.lnk
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL-аккаунта: xxxx://disk.swissdisk.com/tifu17
xxxx://anycoindirect.eu/
Email: wfmmp8@sigaint.org
BTC: 1AGNa15ZQXAZUgFiqJ2i7Z2DPU2J6hW62i
См. ниже результаты анализов.
Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn * * *
© Amigo-A (Andrew Ivanov): All blog articles.