NoobCrypt Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 250 NZD (299 USD) в биткоинах, чтобы вернуть файлы обратно.
Этимология названия:
Название получил за корявость и множественные ошибке в кодинге, а также за ответные фразы, в который жертва оскорбляется за ввод некорректного ключа дешифровки. Самоназвание: CryptoLocker. Видимо разработчику из румынии не дают покоя лавры реального CryptoLocker-а.
Ориентирован, вероятно, на пользователей из Новой Зеландии, т.к выкуп указан в новозеландских и американских долларах. Но 250 новозеландских долларов эквиваленты только 175 американскими, потому налицо путаница с суммами выкупа. Примечательна также надпись, указывающая на румынское происхождение вредоноса. Также румынское происхождение имеет El-Polocker Ransomware.
Записка о выкупе — экран блокировки с кнопками проверки платежа и дополнительной информации. Выполнено так коряво, что цифры требуемой суммы закрывают часть текста.
Вымогательское сообщение с экрана блокировки:
Your personal files are encrypted!
Coded in ROMANIA
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and can decrypt your files until you pay and obtain the private key.
You have 48 hours to pay 250 NZD in Bitcoins to get the decryption key.
Every 2 hours files will be deleted. Increasing in amount exery time frame.
If you do not send money within provide $299 your files will be permanently crypted and no one will be able to recover them.
Time left until your files will be DELETED! - Don't try to trick us.
I have paid, check.
$299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
In order to pay use a Phone or a Laptop!
Informations CHECK
Перевод на русский:
Ваши личные файлы зашифрованы!
Кодировано в РУМЫНИИ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы сильным шифрованием и уникальным ключом только для этого ПК.
Секретный ключ находится на секретном сервере и может дешифровать файлы, пока вы платите за секретный ключ.
У вас есть 48 часов, чтобы заплатить 250 NZD в биткоинах, чтобы получить ключ дешифровки.
Каждые 2 часа файлы будут удаляться. С каждым разом всё больше.
Если вы не заплатите в нужный срок $299, то ваши файлы останутся шифрованными и никто не сможет их восстановить.
Осталось времени до удаления ваших файлов! - Не пытайтесь обмануть нас.
Я заплатил, проверить.
$ 299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
Для оплаты используйте телефон или ноутбук!
Кнопка "Информация". Кнопка "ПРОВЕРИТЬ"
Файлы можно расшифровать без уплаты выкупа, если ввести в поле Unlock ключ разблокировки ZdZ8EcvP95ki6NWR2j
См. скриншот.
Если вместо указанного кода ввести какой-нибудь простой, например, 123, то вымогатель покажет предупреждение с насмешкой над жертвой:
"123 is not the code! You idiot. GO PAY IF U WANT UR PC BACK. NOOB HAH".
"123 это не код. Ты идиот. Плати, чтобы вернуть свой ПК. Нуб, хаха."
Во фразе присутствуют ошибки, видимо текст писал ещё тот "грамотей".
Примеры ответных фраз на ввод некорректного ключа
Распространяется с помощью email-спама и вредоносных вложений, с помощью фальшивых обновлений и установщиков, в том числе и для Adobe Flash Player.
Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .accdb, .aif, .asf, .asx, .avi, .bmp, .cdx, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .flv, .gif, .ico, .iff, .jpeg, .jpg, .m3u, .m3u8, .m4u, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .pdb, .pdf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ra, .raw, .rtf, .sldm, .sldx, .sql, .tif, .txt, .vob, .wav, .wma, .wmv, .wpd, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw (71 расширение).
Файлы, связанные с Ransomware:
CryptoLocker.exe - исполняемый файл вымогателя с фальшивым именем.
Детект на VirusTotal >>
Анализ на Payload Security >>
Обновление от 12 сентября 2016 г.
Новая версия: новый ключ разблокировки для $50: lsakhBVLIKAHg
Дополнение из статьи Лоуренса Абрамса
Таблица зависимых от суммы выкупа ключей теперь выглядит так:
Степень распространённости: низкая.
Подробные сведения собираются.
Сообщение >> Статья на сайте BleepingComputer >>
Внимание! Файлы можно расшифровать! Скачайте дешифровщик от Avast по ссылке >>
Thanks: Jakub Kroustek Lawrence Abrams