LockeR Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в $10000 в BTC (на момент публикации статьи это было ~1.789), чтобы вернуть файлы. Оригинальное название: LockeR. Указано на Tor-сайте.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .locked
Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: [How_To_Decrypt_Files].txt
Содержание записки о выкупе:
What happened to my files ?
All of your important files were encrypted using a combination of RSA-2048 and AES-256.
What does this mean ?
This means that your files were modified in a way that makes working with them impossible, unless you have the keys to decrypt them.
Is it possible to recover my files ?
Yes, it possible to get your files back, you'll need a special program (decryptor) and the private key of the key pair used to encrypt them.
How can I get the decryptor and the private key ?
You can buy both of them in any of the links below. Just visit one of them and follow the instructions.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
If you cannot access the site from any of the addresses above, you can follow the instructions below to access the site using the Tor Browser.
Download the Tor Browser Bundle here: xxxxs://www.torproject.org.
Execute the file you downloaded to extract the Tor Browser into a folder on your computer.
Then simply open the folder and click on "Start Tor Browser".
Copy and paste the onion address into the address bar: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***
Перевод записки на русский язык:
Что случилось с моими файлами?
Все ваши важные файлы были зашифрованы, используя комбинацию RSA-2048 и AES-256.
Что это значит ?
Это значит, что ваши файлы были изменены таким образом, что сделало невозможным работу с ними, если у вас нет ключей для их расшифровки.
Возможно ли восстановить мои файлы?
Да, возможно вернуть ваши файлы, вам понадобится специальная программа (декриптор) и закрытый ключ пары ключей, используемых для их шифрования.
Как я могу получить декриптор и закрытый ключ?
Вы можете купить их оба по любой из приведенных ниже ссылок. Просто посетите одну из них и следуйте инструкциям.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
Если вы не можете получить доступ к сайту с любого из указанных выше адресов, вы можете выполнить приведённые ниже инструкции для доступа к сайту с помощью Tor-браузера.
Загрузите установщик Tor-браузера здесь: xxxxs://www.torproject.org.
Запустите загруженный файл, чтобы извлечь Tor-браузер в папку на вашем компьютере.
Затем просто откройте папку и нажмите "Start Tor Browser".
Скопируйте и вставьте onion-адрес в адресную строку: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***
Вход на Tor-сайт вымогателей, без ввода ID
1-я (Home) и 2-я (Help) страницы
Содержание текста на страницах:
LockeR
Infection ID
If you have a KEY file, you can upload it using the form below. You can learn more about the machine synchronization in the "Help" page.
---
What is the KEY file ?
It is a storage for the information regarding the infection of your computer, it contains the private key of the key pair used to encrypt your files, along with information to identify your computer.
I don't have a KEY file, how can I synchronize my computer ?
If you don't have a KEY file, your machine is already synchronized, you just need to follow any of the links in the HTML note.
How long does it take for my payment to be confirmed ?
It depends on how much you paid for the transaction fee and how much the network is congested. You can check the average confirmation time clicking here.
I paid a lower value and/or to a different address. What should I do ?
In your personal page, click the "Support" option and open a new ticket. You must say in the message which address you paid to and how many bitcoins you sent.
Перевод текста на страницах:
LockeR
Infection ID
Если у вас есть файл KEY, вы можете загрузить его, используя форму ниже. Подробнее о синхронизации машины вы можете узнать на странице "Help" (Помощь).
---
Что такое файл KEY?
Это хранилище информации о заражении вашего компьютера, оно содержит закрытый ключ от пары ключей, используемых для шифрования ваших файлов, а также информацию для идентификации вашего компьютера.
У меня нет файла KEY, как я могу синхронизировать мой компьютер?
Если у вас нет файла KEY, ваш компьютер уже синхронизирован, вам просто нужно следовать любой из ссылок в HTML-заметке.
Сколько времени нужно на подтверждение моего платежа?
Это зависит от того, сколько вы заплатили на комиссию за транзакцию и насколько перегружена сеть. Вы можете проверить среднее время подтверждения, нажав здесь.
Я заплатил меньше и/или на другой адрес. Что делать?
На своей личной странице нажмите кнопку "Support" (Поддержка) и откройте новый тикет. Вы должны указать в сообщении, на какой адрес вы перевели, и сколько биткоинов отправили.
Tor-сайт вымогателей после ввода ID
1-я и 2-я страницы
3-я и 4-я страницы
Содержание текста на 1-й странице:
LockeR
Your files have been encrypted, to recover them you need the private key of the key pair used to encrypt them and the decryptor. You can buy both of them for $10000.00. However, if the payment is not made until 2017-10-22 14:05 UTC, the price for the decryptor and private key will increase to $20000.00.
04 days 22 hours 00 minutes 06 seconds
1. Register a bitcoin wallet.
Easiest online wallet or other wallets.
2. Purchase the required amount of bitcoins.
There are several ways you can buy bitcoins, you can use bitcoin exchanges, buy directly from people selling near you or using a bitcoin ATM.
3. Send exactly 1.78910400 BTC ($10000.00) to the address:
16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
The confirmation may take several minutes, please be patient.
Status: Awaiting payment...
Expires in: 54:02
1 BTC ≈ 5587.71 USD
The private key is stored in our server for two months.
---
Перевод текста на страницах:
LockeR
Ваши файлы были зашифрованы, чтобы восстановить их, вам нужен секретный ключ от пары ключей, используемых для их шифрования и дешифратор. Вы можете купить оба из них за $10000,00. Однако, если платеж не будет произведен до 2017-10-22 14:05 UTC, цена на дешифратор и закрытый ключ увеличится до $20000,00.
04 дня 22 часа 00 минут 06 секунд
1. Зарегистрируйте биткойн-кошелек.
Самый простой онлайн-кошелек или другие кошельки.
2. Приобретите необходимое количество биткойнов.
Есть несколько способов купить биткойны, вы можете использовать обмен биткоинами, купить напрямую у людей, продающих рядом с вами, или с помощью банкомата биткоинов.
3. Отправьте ровно 1,78910400 BTC (10000,00 долларов США) по адресу:
16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
Подтверждение может занять несколько минут, пожалуйста, проявите терпение.
Статус: Ожидает оплаты ...
Истекает в: 54:02
1 BTC ≈ 5587.71 USD
Закрытый ключ хранится на нашем сервере два месяца.
---
Другие Tor-сайты после ввода ID
На этих сайтах указан другой BTC-кошелек
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
[How_To_Decrypt_Files].txt
<random>.exe
Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://wsg3wd4fepljpvwu.onion***
xxxx://xk5perkqaaaoux2v.onion***
BTC-1: 16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
BTC-2: 19zhdzGyptWpts9fPeuMcvzcmXioAopiG1
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 20 января 2018:
Расширение: .locked
Записка: [HOW_TO_DECRYPT_FILES].html
Tor-URL: (не изменился)
xxxx://lockerrwhuaf2jjx.onion.link/***
xxxxs://lockerrwhuaf2jjx.onion.gq/***
xxxxs://lockerrwhuaf2jjx.onion.to/***
xxxxs://lockerrwhuaf2jjx.onion.top/***
Содержание записки (часть текста):
What happened to my files ?
All of your important files were encrypted using a combination of RSA-2048 and AES-256.
What does this mean ?
This means that your files were modified in a way that makes working with them impossible, unless you have the keys to decrypt them.
Is it possible to recover my files ?
Yes, it possible to get your files back, you'll need a special program (decryptor) and the private key of the key pair used to encrypt them.
How can I get the decryptor and the private key ?
You can get both of them in our site below. The site is only available via the Tor Browser.
Instructions to install Tor Browser (recommended).
Download the Tor Browser Bundle here: https://www.torproject.org.
Execute the file you downloaded to extract the Tor Browser into a folder on your computer.
Then simply open the folder and click on "Start Tor Browser".
Copy and paste the onion address into the address bar:
xxxx://lockerrwhuaf2jjx.onion.link/***
xxxxs://lockerrwhuaf2jjx.onion.gq/***
xxxxs://lockerrwhuaf2jjx.onion.to/***
xxxxs://lockerrwhuaf2jjx.onion.top/***
***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + myTweet
ID Ransomware
Write-up, Topic of Support
*
Thanks:
Michael Gillespie
Andrew Ivanov (article author)
*
© Amigo-A (Andrew Ivanov): All blog articles.
