BTCWare-Wyvern Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что угодно.
This BTCWare's logo was developed on this site ID-Ransomware.RU
© Генеалогия: BTCWare >> BTCWare-Wyvern
К зашифрованным файлам добавляется составное расширение по шаблону .[email]-id-<id>.wyvern
Примеры зашифрованных файлов:
file1.jpg.[decryptorx@cock.li]-id-89085061.wyvern
file2.doc.[decryptorx@cock.li]-id-89085061.wyvern
file3.png.[decryptorx@cock.li]-id-89085061.wyvern
Примеры зашифрованных файлов
Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HELP.hta
Скриншоты записки о выкупе
Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decryptorx@cock.li
You have to pay for decryption in Bitcons. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total see of files must be less than 1Mb (non archved), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcolns
The easiest way to buy bitcoins is localBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners gude here:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail decryptorx@cock.li
Вы должны заплатить за дешифрование в битконах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общее количество файлов должно быть меньше 1 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить Bitcoins
Самый простой способ купить биткойны - сайт localBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткойнов и руководство для новичков:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, , а затем перезагружает компьютер, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
shutdown.exe -r -t 0
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HELP.hta
<random>.exe
много дроппированных файлов
Расположения:
\%APPDATA%\HELP.hta
\%APPDATA%\<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
decryptorx@cock.li
fuck4u@cock.li
См. ниже результаты анализов.
Связанный открытый ключ Wyvern RSA:
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 27 сентября 2017:
Расширение: .[fuck4u@cock.li]-id-<id>.wyvern
Email: fuck4u@cock.li
Результаты анализов: VT
Обновление от 27 октября 2017:
Email: irmagetstein@india.com
Пример: .[irmagetstein@india.com]-id-3540E23D.wyvern
Содержание записки:
your data have been encrypted
if you want restore files
write me irmagetstein@india.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения:
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted,
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet,
.wyvern, .xfile
Можно также обратиться по этой ссылке >>
Read to links:
Tweet on Twitter
ID Ransomware (ID under BTCWare Gryphon)
Write-up, Topic of Support
*
Thanks:
Lawrence Abrams
Michael Gillespie
Andrew Ivanov (author)
*
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Пост в Твиттере >>
Пост в Твиттере >>
