Euclid Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Разработка: Euclid team.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: how to recover.txt
Содержание записки о выкупе:
[+] What's happned ? [+]
all your files have been encrypted(locked) by us
but no worries you can easilly recover(decrypt) your files
just message us and we'll help you out
[+] what should i do [+]
keep calm and message us
[+] do you garantee recovery of my files ?[+]
yeah 100% , it our job all your files are recoverable 100% sure
no matter how big they are or what format(type) they were
[+] well then how should i contact you [+]
we use popular full secure telegram messenger for communicating,
it's free and 100% secure, download it and sign up using any phone number (your phone number is kept by telegram and hidden for us or anyone else )
then copy paste the folling link in the messenger and click or enter our id in the search bar
then click "Send messages"
link :: https://t.me/SalsaRecovery
ID: @SalsaRecovery
[+] how do you ensure me you can recover my files[+]
well we can give you free decryption of a file for ensuring
pick a random file (no matter what size and type) send it us and will give you back the decrypted(original) file
please note that if the file contanains valuable info we'll ask for another file
[+] i want technical details of the encryption [+]
we use 2*RSA2048 + salsa20/20 algorithm for encrytion
and new random salsa key is genrated for each file
rsa is a method of encrypting that has different keys for decrytion and encryption (public key and private key) ,
so it's impossible to recover your files without our private key
Mathematics science proves that
your decryion keys are stored in : decryption_keys.euclidkeys file ,we need it for decryption(only we can read it)
don't worry we're here to help you
[+] can i message you if i don't want to pay any thing [+]
Sure we'll be happy to hear any thing from you
we'll guide you to protect your data after this
and secure your system for free
BEST WISHES Euclid team
Перевод записки на русский язык:
[+] Что случилось? [+]
все ваши файлы были зашифрованы (заблокированы) нами
но не беспокойтесь, вы можете легко восстановить (расшифровать) ваши файлы
просто напишите нам, и мы поможем вам
[+] что мне делать [+]
сохраняй спокойствие и сообщи нам
[+] вы гарантируете восстановление моих файлов? [+]
да 100%, это наша работа, все твои файлы можно восстановить на 100%
независимо от того, насколько они велики или какого формата (типа) они были
[+] ну тогда как мне с тобой связаться [+]
мы используем популярный полностью безопасный Telegram для общения,
это бесплатно и на 100% безопасно, загрузите его и зарегистрируйтесь, используя любой номер телефона (ваш номер телефона хранится в Telegram и скрыт для нас или кого-либо еще)
затем скопируйте и вставьте следующую ссылку в мессенджер и нажмите или введите наш идентификатор в строке поиска
кликните "Send messages"
ссылка :: https://t.me/SalsaRecovery
ID: @SalsaRecovery
[+] как вы убедитесь, что вы можете восстановить мои файлы [+]
ну мы можем дать вам бесплатную расшифровку файла для гарантии
выберите случайный файл (независимо от его размера и типа), отправьте его нам и вернем вам расшифрованный (оригинальный) файл
обратите внимание, что если файл содержит ценную информацию, мы попросим другой файл
[+] я хочу технические детали шифрования [+]
мы используем алгоритм шифрования 2*RSA2048 + salsa20/20
и новый случайный ключ сальсы генерируется для каждого файла
rsa - это метод шифрования, который имеет разные ключи для дешифрования и шифрования (открытый ключ и закрытый ключ),
поэтому невозможно восстановить ваши файлы без нашего закрытого ключа
Математика доказывает, что
Ваши ключи дешифрования хранятся в файле: decryption_keys.euclidkeys, он нам нужен для расшифровки (только мы можем его прочитать)
не волнуйтесь, мы здесь, чтобы помочь вам
[+] Могу ли я отправить вам сообщение, если я не хочу ничего платить [+]
Конечно, мы будем рады услышать что-то от вас
мы поможем вам защитить ваши данные после этого
и обезопасить свою систему бесплатно
ЛУЧШИЕ ПОЖЕЛАНИЯ от Euclid team.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
how to recover.txt
decryption_keys.euclidkeys
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Telegram: @SalsaRecovery
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (author) * to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
