LockMe Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей и сетевых хранилищ с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: LockMe. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
Надпись LockMe в ASCII
К зашифрованным файлам добавляется расширение .lockme
Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на многоязычных пользователей (54 языка), потому может распространяться по всему миру.
Записка с требованием выкупа называется: README_FOR_DECRYPT_YOUR_FILES.txt
В ней есть текст на 54-х языках: английский, русский, китайский, немецкий, украинский, индонезийский, турецкий, польский, португальский, румынский, хорватский, африкаанс, итальянский, испанский, армянский, арабский, азербайджанский, белорусский, болгарский, каталанский, хорватский, чешский, датский, нидерландский, филиппинский, французский, грузинский, греческий, иврит, хинди, исландский, игбо, ирландский, казахский, курманджи, киргизский, лаосский, латинский, латышский, литовский, люксембургский, македонский, малагасийский, маори, монгольский, бирманский, непальский, норвежский, словацкий, словенский, таджикский, тайский, узбекский, вьетнамский.
Содержание записки о выкупе (малая часть):
All of your files have been Encrypted with military grade system and impossible to brute force, cracking, or reverse engineering it !
If you want all of your files back send me 0.03 BTC .
[+] Your Unique ID : [***]
[+] Send BTC To This Address : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Send BTC : 0.03 BTC
[+] Contact Email : LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*) Don't try change the '.lockme' extensions , if you change it , your all files can be broken and can't be restored forever .
*) If you've made a payment contact LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com .
*) If you not made a payment all of your private files will be leaked on internet (private photos, documents, videos, and more) .
Question : How to buy Bitcoin ?
Answer : You can buy Bitcoin at this Website : bitcoin.com , coinbase.com , cex.io , paxful.com , coinmama.com , etc .
[+] Your IP : [***] | Your ID : [***] [+]
Все ваши файлы были зашифрованы с помощью системы военного класса и невозможны для грубой силы, взлома или реконструирования!
Если вы хотите, чтобы все ваши файлы отправили мне 0.03 BTC.
[+] Ваш уникальный идентификатор : [***]
[+] Отправить BTC на этот адрес : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Отправить BTC : 0.03 BTC
[+] Контактный адрес электронной почты : LockMecQqL3Ruy7V0RfZ@protonmail.com
*) Не пытайтесь изменить расширения .lockme, если вы его измените, все ваши файлы могут быть повреждены и не могут быть восстановлены навсегда.
*) Если вы сделали платежный контакт LockMecQqL3Ruy7V0RfZ@protonmail.com.
*) Если вы не сделали платеж, все ваши личные файлы будут просочились в Интернет (частные фотографии, документы, видеоролики и т. Д.).
Вопрос : Как купить биткойн?
Ответ : Вы можете купить Bitcoin на этом сайте: bitcoin.com, coinbase.com, cex.io, paxful.com, coinmama.com и т. Д.
[+] Ваш IP : [***] | Ваш ID : [***] [+]
所有的文件已经加密与军事级系统,不可能暴力破解,或逆向工程!
如果你想你所有的文件送我 0.03 BTC。
[+]您的唯一ID :[***]
[+]发送BTC到这个地址 :1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+]发送BTC :0.03 BTC
[+]联系电子邮箱 :LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*)不要尝试改变'.lockme'扩展名,如果你改变它,你的所有文件都可以被破坏,不能永久恢复。
*)如果您已经付款联系LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com。
*)如果您没有付款,所有私人文件将在互联网上泄露(私人照片,文档,视频等)。
问题 : 如何购买比特币?
答 : 您可以在本网站购买比特币:bitcoin.com,coinbase.com,cex.io,paxful.com,coinmama.com等。
[+] 您的IP :[***] | 您的ID :[***] [+]
***
Перевод записки на русский язык:
Уже сделан выше. Как можете заметить, перевод на русский довольно корявый. Сразу видно, что использовалась система автоматизированного перевода от Google. Но это могло быть сделано и умышленно.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Зашифрованные файлы имеют маркер файлов: Salted__
Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT_YOUR_FILES.txt
<random>.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruy7V0RfZ@protonmail.com - только в тексте на русском языке
LockMecQqL3Ruyi7V0RfZ@tutamail.com и LockMe9hG1F7pbWqThUt9P8@mailfence.com - для всех других языков
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 14 июля 2018:
Пост в Твиттере >>
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruyi7V0RfZ@tutamail.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as LockMe) Write-up, Topic of Support *
Thanks: Michael Gillespie * * *
© Amigo-A (Andrew Ivanov): All blog articles.