Amnesia Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: Amnesia. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. По данным исследователей и результатам анализа вредоносных файлов Amnesia является продолжением шифровальщиков семейства Globe, см. генеалогию ниже.
© Генеалогия: Globe Family > Amnesia ⇔ CryptoBoss
© Генеалогия: Globe Family > Amnesia > Amnesia-2 > Scarab Family
К зашифрованным файлам добавляется расширение .amnesia
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация сделана под амнезию (провалы в памяти) в чёрном цвете.
Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT
Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!
Your personal ID:
2236824251800*****
Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).
Attention!
* Do not attempt to remove the program or run the anti-virus tools.
* Attempts to self-decrypting files will result in the loss of your data.
* Decoders are not compatible with other users of your data, because each user's unique encryption key.
Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID:
2236824251800*****
Внимание! Что случилось?
Ваши документы, базы данных и другие важные данные зашифрованы.
Если хотите вернуть файлы, пришлите email на: s1an1er111@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
Внимание!
* Не пытайтесь удалить программу или запустить антивирус.
* Попытки самим дешифровать файлы приведут к потере ваших данных.
* Декодеры от других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования.
Технические детали
Распространяется через RDP или может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
После получения доступа к системе шифровальщик удаляет все теневые копии файлов, прописывается в автозагрузке Windows, чтобы выполняться при каждом запуске системы. Шифрует у файлов первые 1 Мб с помощью AES-256 в режиме ECB. После этого к зашифрованным файлам добавляется расширение .amnesia
Amnesia использует шаблон идентификатора жертвы, состоящих из 614 знаков.
Список файловых расширений, подвергающихся шифрованию:
7763 целевых расширения!!! Абсолютный рекорд!!!
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы многих прикладных программ, расширения от других шифровальщиков и пр.
Я упорядочил их по алфавиту, но если вставить список сюда, то он займет много текста. См. скриншоты выше.
Удаляет теневые копии файлов, точки восстановления системы и отключает автоисправление загрузки системы командами:
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} recoveryenabled No
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
guide.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: s1an1er111@protonmail.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Globe Ransomware
Globe Family
Amnesia Ransomware
Amnesia-2 Ransomware
Scarab Ransomware
Scarab-Amnesia Ransomware
Scarab-Osk Ransomware
{обновленный шифратор}
Scarab-Bomber Ransomware
и другие
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 6 мая 2017:
Топик на форуме >>
Расширение: .@decrypt2017
Пример зашифрованного файла: 3w000000003pTDU3Pv3hBtVXmHS7ddEU.@decrypt2017
Статус: Файлы можно расшифровать. Ссылка на дешифровщик >>
Обновление от 8 мая 2017:
Пост в Твиттере >>
Новые расширения: .01 и .02
Записка: RECOVER-FILES.HTML
Файлы: Happier.exe, bstarb.exe
Версия файла: 2.8.79.43
Фальш-имя: CalifrniaStl и др.
Теперь переименовывает файлы в имена, состоящие из случайных цифр и букв.
Результаты анализов: VT, VT
Обновление от 10 мая 2017:
Пост в Твиттере >>
Расширение: .[Help244@Ya.RU].LOCKED
Email: help244@ya.ru
Обновление от 12 мая 2017:
Тема на VirusInfo >>
Расширение: .CTB-Locker
Email: locker@bitmessage.ch
Bitmessage: BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH
Записка: !__П_Р_О_Ч_Т_И__CTB-Locker__ПРОЧТИ__ПРОЧТИ.TXT
Содержание записки на русском и английском языках:
Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Содержание записки о выкупе (1-й вариант):
===
Your files are encrypted!
Your personal ID
628***
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
* Sign up online http://bitmsg.me (online service for sending Bitmessage)
* Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.1 Bitcoin (0.1 BTC ~ 200$).
If you have no Bitcoin
* Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
* Get cryptocurrency Bitcoin:
https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) (instruction for beginners)
* Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
===
Пост на форуме >>
----------
Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Скриншот этого варианта >>
Содержание записки о выкупе (2-й вариант):
===
Your files are encrypted!
Your personal ID
6287197656087.......
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
* Sign up online http://bitmsg.me (online service for sending Bitmessage)
* Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.23 Bitcoin (0.23 BTC ~ 500$).
If you have no Bitcoin
* Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
* Get cryptocurrency Bitcoin:
https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) (instruction for beginners)
* Send 0.23 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
* Do not attempt to remove the program or run the anti-virus tools
* Attempts self-decrypting files will result in the loss of your data
* Decoders are not compatible with other users of your data, because each use`s unique encryption key
===
Пост на форуме >>
Обновление от 5 июня 2017:
Расширение: .protomolecule@gmx.us
Записка: HOW TO RECOVER ENCRYPTED FILES
---
Расширение: .@decrypt_files2017
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
----------
Этот вымогательский проект закрыт и вместо него используются другие, см. схему ниже.
This "Amnesia project" has been shut down and others ransomware is running in its place. See the Scheme.
---
Внимание! Для зашифрованных файлов есть декриптер Скачать Amnesia Decrypter для дешифровки >>
Read to links: Tweet on Twitter ID Ransomware (ID as Amnesia) Write-up, Topic *
Thanks: xXToffeeXx, Fabian Wosar Michael Gillespie paradoxewan Alex Svirid
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private