Coin Locker Ransomware
CoinLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью шифра Цезаря (Ceasar Cipher), а затем требует перейти на сайт в сети Tor, чтобы узнать, как вернуть файлы. Оригинальное название: Coin Locker.
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .encrypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Записка с требованием выкупа называется: Coin.Locker.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
You have been infected with the Coin Locker malware.
All files on this system have been encrypted.
To regain access to your files you will need the Coin Locker decryption software.
To obtain our software you will need to access the deep web with TOR, download TOR here:
https://www.torproject.org/download/download-easy.html.en
Launch TOR and navigate to our website:
http://unjbvgrxu2mpobuj.onion
Follow the steps on the site to use the decryption software and your files will be unlocked.
Перевод записки на русский язык:
Вы инфицированы вредоносом Coin Locker.
Все файлы в этой системе зашифрованы.
Чтобы вернуть доступ к своим файлам, вам нужна программа для расшифровки Coin Locker.
Чтобы получить нашу программу, вам потребуется доступ к темной сети с TOR, загрузите TOR здесь:
https://www.torproject.org/download/download-easy.html.en
Запустите TOR и перейдите на наш сайт:
http://unjbvgrxu2mpobuj.onion
Следуйте инструкциям на сайте, чтобы использовать программу для расшифровки, и ваши файлы будут разблокированы.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Подробности о шифровании:
Когда Coin Locker шифрует файл, он использует шифр подстановки символов, известный как Ceasar Cipher (шифр Цезаря), который использовал Юлий Цезарь для шифрования конфиденциальных сообщений. В нем применяется замена букв, когда каждый символ заменяется другой буквой на определенное количество мест до или после него в том же алфавите. Поскольку этот тип шифра просто использует замену букв, его расшифровка довольно проста. Пример смещения шифра на четыре символа вправо показан на рисунке ниже.
Используемое преобразование обычно обозначают как ROTN, где N — сдвиг на N-ное число позиций, ROT — сокращение от слова ROTATE, в данном случае "циклический сдвиг". Пример того, как будет выглядеть текст с разным числом позиций, показан ниже.
Шифрует каждый файл, включая исполняемые.
Среди зашифрованных наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускает только директории, в имени которых есть слова:
Windows
Пропускает только директории, в имени которых есть слова:
Windows
Mozilla
Google
Notepad
Файлы, связанные с этим Ransomware:
Coin.Locker.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Top-URL: http://unjbvgrxu2mpobuj.onion
Файлы, связанные с этим Ransomware:
Coin.Locker.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Top-URL: http://unjbvgrxu2mpobuj.onion
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Обновление февраля 2015:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление февраля 2015:
Стараниями сообщества BleepingComputer был создан дешифратор CoinLocker Decrypter, который исправлял файлы.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as Coin Locker) Write-up, Topic of Support *
Thanks: Lawrence Abrams, Michael Gillespie Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.