Australian-AES Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $60 AUD (австралийских долларах) в BTC, чтобы вернуть файлы. Оригинальное название: в тексте не указано. На файле написано: нет данных.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .aes
Этимология названия:
Австралийская афера с шифрованием - Australian Encrypt Scam - AES. 😃
Оригинальное название вымогатели не указали. Адреса email также нет.
Получайте: Australian-AES Ransomware!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
** YOUR FILES HAVE BEEN ENCRYPTED. DO NOT CLOSE **
- Why have my files been encrypted? -
You files have been encrypted. This includes many of your important documents and other types of files, database, system files and more. Upon inspecting these encrypted files you may discover that they are using an unbreakable encryption algorithm, which can only be unlocked and decrypted with a special key.
This key can only be obtained though a bitcoin payment listed below. This is a certain way to recover and safely decrypt all your important files to get them back. All files after the amount is paid in full will be decrypted. This offer only has a certain time limit though and it's your choice whether you want the key permanently destroyed, so your files can not be decrypted at all.
For some background info, this is a simple, fund raiser attempt in the desperate, dark void of the internet. It's a noble thought intended to be good, as it's also been thought for years, but it's job is by doing right by those bad. All funds collected are filtered, then giving to charities that matter, so that as a collective of victims, a bigger reward is given to those who need it. If a small amount, is multiplied by thousands, those small interuptions in those people's lives, come at a greater cost for those who benifit from it more.
-----
- How to pay for encrypted files? -
Bitcoin is a popular cryptocurrency nowdays, and therefore it's easy to buy bitcoin. For Australian's, bitcoin.com.au has a $50 BTC minimum limit.
Therefore, the amount is set at $60 AUD. Go to the bitcoin.com.au website and go through the steps to purchase the bitcoin. Next, use the bitcoin address provided below to send the bitcoins to that address. After that, simply wait for the time to expire and if the bitcoin's have been paid, the decryption key will be released.
Send $60 worth of bitcoin to this BTC address: [Copy Address]
37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
Time left: 47:59:23
Decryption Key: *** [Copy Key]
Enter Key: [ ]
I have paid the BTC amount to the correct address above.
[Purchase Bitcoin] [Decrypt]
-----
** WARNING: CLOSING THIS APPLICATION WILL RESULT IN ENCRYPTED FILES BEING PERMANENTLY ENCRYPTED ** [Minimise Window]
** ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. НЕ ЗАКРЫВАЙ **
- Почему мои файлы были зашифрованы? -
Ваши файлы были зашифрованы. Это включая многие ваши важные документы и другие типы файлов, базы данных, системные файлы и многое другое. После проверки этих зашифрованных файлов вы обнаружите, что они используют неуязвимый алгоритм шифрования, который можно разблокировать и расшифровать только со специальным ключом.
Этот ключ можно получить только через биткоины, указанные ниже. Это точный способ восстановить и безопасно расшифровать все ваши важные файлы, чтобы вернуть их. Все файлы после полной оплаты будут расшифрованы. Это предложение имеет только заданное временное ограничение, и вы сами решаете, хотите ли вы, чтобы ключ был окончательно уничтожен, чтобы ваши файлы вообще не могли быть расшифрованы.
Для некоторой информации, это простая попытка по сбору средств в отчаянной, темной пустоте Интернета. Это благородная мысль, предназначенная для того, чтобы быть хорошей, т.к. об этом думали годами, но ее работа в том, чтобы справляться с плохими. Все собранные средства фильтруются, а затем передаются благотворительным организациям, которые имеют значение, так что, как коллектив жертв, большее вознаграждение дается тем, кто в этом нуждается. Если небольшое количество, умноженное на тысячи, эти небольшие вмешательства в жизнь этих людей, будут стоить дороже тем, кто больше от этого выигрывает.
-----
- Как оплатить зашифрованные файлы? -
Биткоин сегодня является популярной криптовалютой, поэтому купить биткоин легко. Для австралийцев на сайте bitcoin.com.au установлен минимальный лимит в 50 долларов США.
Так, сумма установлена в размере 60 австралийских долларов. Перейдите на сайт bitcoin.com.au и выполните все шаги, чтобы купить биткойн. Затем используйте адрес биткоина, указанный ниже, чтобы отправить биткоины на этот адрес. После этого просто подождите, пока время истечет и остановится, и если биткоины были оплачены, ключ дешифрования будет выпущен.
Отправьте биткоины на $60 на этот адрес BTC: [Копировать адрес]
37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
***
-----
** ПРЕДУПРЕЖДЕНИЕ: ЗАКРЫТИЕ ЭТОГО ПРИЛОЖЕНИЯ ПРИВЕДЕТ К ТОМУ, ЧТО ЗАШИФРОВАННЫЕ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА ** [Свернуть окно]
👉 В этой вымогательской программе имеется секретная комбинация клавиш: Alt+M. При нажатии Alt+M вымогатель показывает следующее сообщение и дает жертве ключ дешифрования.
Текст из диалоговых окон и перевод на русский:
If you found this by accident, nice luck. The decryption key is released before the timer, you can now decrypt your files.
---
Если вы нашли это случайно, удачи. Ключ расшифровки выпущен раньше таймера, теперь вы можете расшифровать ваши файлы.
-----------------------------------
Your files are now being decrypted. DO NOT close the application or your files will be corrupted and unrecoverable. The program will alert upon completion of deletion.
---
Ваши файлы расшифровываются. НЕ закрывайте приложение, иначе ваши файлы будут повреждены и невосстановимы. Программа сообщит о завершении удаления.
-----------------------------------
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Когда таймер выключен, он показывает сообщение и дает жертве ключ. Единственная проблема заключается в том, что ключ нигде не сохраняется (как он предупреждает в графическом интерфейсе), поэтому, если жертва останавливает его (выключает компьютер, отключает питание и пр.) ключ потерян.
Текст от вымогателей и перевод на русский:
---
The decryption key was never going to be deleted, your files are now able to be unencrypted. To do so click the 'I have purchased the BTC checkbox' and using the decryption key, enter it into the textbox, and click decrypt. Watch as your files magically unencrypt. Thanks for the donation.
---
Times Up!!
---
Ключ дешифрования никогда не собирался быть удаленным, теперь ваши файлы могут быть не зашифрованы. Для этого жмите кнопку 'I have purchased the BTC checkbox' и, используя ключ дешифрования, введите его в текстовое поле и нажмите 'Decrypt'. Смотрите, как ваши файлы магически не зашифрованы. Спасибо за пожертвование.
---
Время вышло !!
-----------------------------------
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: ***
BTC: 37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Возможно, что файлы можно будет расшифровать. Но мы пока не знаем, есть ли пострадавшие вообще. Если таковые будут, пишите в форму обратной связи.
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.