Basilisque Locker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью AES-128 (режим CBC), а затем требует выкуп от 100$ до 500$ BTC, чтобы вернуть файлы. Оригинальное название: Basilisque Locker (указано в записке). На файле написано: нет данных.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение василиска — только логотип статьи
К зашифрованным файлам добавляется расширение: .basilisque@protonmail_com
Название зашифрованного файла изменяется. Пример зашифрованного файла: cm9sbHVwLnBuZw==.basilisque@protonmail_com
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый пострадавший из Испании. Атака произошла в июне 2019.
Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt
Содержание записки о выкупе:
What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using Basilisque Locker!
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
Your unique id: 37c3b87fb83c71471559d3ff73b72***
Date of encrypt: Sunday, June 16, 2019 5:29:31 PM UTC
What do I do ?
You can buy decryptor from us!
How much is it?
In first 24 hours after encryption - 100$
In three days - 150$
In 12 days - 250$
After(if it is still possible*) - 500$
But if you want to decrypt few files as a test check the price will be increased by $ 25 for every single file. (This is described in more detail below in FAQ p.3)
*We can delete keys as time passes.
How to buy?
1. First buy the bitcoins for the right amount. How to do this is written below.
2. Contact us by email usernamus@protonmail.com . Specify your ID in the subject.
3. You will get bitcoin wallet to pay.
4. Send bitcoins to wallet address from email(how to buy bitcoins read below in FAQ p.4)
5. When you pay, write to us again(don't forget to enter your ID in the subject of letter if you start new conversation)
6. You will get decryptor and instructions for it after you payment get 1 confirmation on blockchain
(this usually takes about 1 hour, but sometimes(rarely) it can take up to 24 hours).
7. If you don't get reply in 24 hours after you get payment or after 4 hours after you payment get confirmation or after 4 hours after first message(wallet ask) please contact us one of different ways listed in FAQ(2 part).
FAQ:
1.How much time do I have to pay for decryption?
You have 12 days to pay after you files was encrypted. Maybe after that you can also buy the decryptor, but maybe not, cause keys could be deleted after some time since the end of the term.
But remember - The faster you pay, the cheaper it will be.
The number of bitcoins for payment you can calc here https://www.coingecko.com/en/coins/bitcoin
Keep in mind that some exchangers delay payment for 1-3 days!** Also keep in mind that Bitcoin is a very volatile currency, its rate can change very quickly. Therefore, we recommend that you make payment within a few hours.
But if you are mistaken for a couple of dollars - no big deal.
**In that case you can ask for discount(If exchanger caused a delay in payment.). For this you need to write to us immediately after you have learned about it and provide screenshots confirming your exchange
2.How to contact you?
a) Main contact is email - basilisque@protonmail.com . (Backup option: basilisque@secmail.pro )
b) Second contact is bitmessage ( https://bitmessage.org/wiki/Main_Page ) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email is fastest, but bitmessage is the most reliable.
If you not get answer after 4 hours after first message(wallet ask) please use another contact. This may be cause email is dead. But we are sure that nothing will happen with bitmessage and you can get an answer there anyway.
3.What are the guarantees that I can decrypt my files after paying the ransom?
We can decrypt some test files for you if you don't believe us.
But it will raise the amount of ransom by $25 for every decrypted file and maximum time to pay will be decreased from 12 to 3 days. If you don't pay in 3 days, than you ransom will be increased to 500$ or keys will be deleted.
Important! The size of each file must be less than 5mb.
You will get uncrypted files back in few hours.
After this procedure you can make sure that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
A few examples:
a)You paying in first 24 hours(100$) after encryption and don't want decrypt test files = 100$
b)You paying on 2nd(150$) day after ecryption and want to decrypt 1 test file(25$) = 175$
c)You paying on 4th(250$) day after encryption and want to decrypt 2 test file(25$*2) = 300$
d)You paying on 13th(500$) day after encryption(if it possible) and want to decrypt 3 test files(25$*3) = 575$
4.How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment.
Depending on your location, you can pay the ransom in different ways.
Here are some links:
https://localbitcoins.net - buy bitcoins in most countries with huge number of ways.
https://buy.blockexplorer.com - payment by bank card
https://www.buybitcoinworldwide.com - links for exhcanges in other countries.
https://paxful.com - like localbitcoins.
In many countries there are Bitcoins ATM where you can buy bitcoins by cash in few minutes. Other good way is buy amazon card and exchange it for bitcoins. If you encounter difficulties write to us, we can suggest options. But we have no other payment methods except bitcoins.
Also you can use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends.
5.How can I decrypt my files?
After confirmation of payment (it usually takes 1 hours, maximum 24 hours) you will get letter with decryptor and instructions for it.
WARNING!
Using third-party solutions can permanently destroy your files.
And the use of someone else’s decryptor will destroy them with a probability of 100 percent.
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
Что случилось с вашими файлами?
Все ваши файлы были защищены надежным шифрованием с AES cbc-128 с использованием Basilisque Locker!
Что это значит ?
Это значит, что структура и данные в ваших файлах безвозвратно изменены, вы не сможете работать с ними, читать или видеть их,
это то же самое, что потерять их навсегда, но с нашей помощью вы сможете их восстановить.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Ваш уникальный ID: 37c3b87fb83c71471559d3ff73b72***
Дата шифрования: воскресенье, 16 июня 2019 г., 17:29:31 UTC
Что мне делать?
Вы можете купить декриптор у нас!
Сколько это стоит?
В первые 24 часа после шифрования - 100$
За три дня - 150$
За 12 дней - 250$
После (если это все еще возможно*) - 500$
Но если вы хотите расшифровать несколько файлов в качестве теста, цена будет увеличена на 25$ за каждый отдельный файл. (Это описано более подробно ниже в FAQ стр.3)
* Мы можем удалить ключи со временем.
Как купить?
1. Сначала купите биткоины на нужную сумму. Как это сделать написано ниже.
2. Свяжитесь с нами по email usernamus@protonmail.com. Укажите свой ID в теме.
3. Вы получите биткоин-кошелек для оплаты.
4. Отправьте биткоины на адрес кошелька (как купить биткойны читайте ниже в FAQ стр.4)
5. Когда вы заплатите, напишите нам снова (не забудьте ввести свой ID в теме письма, если вы начинаете новый разговор)
6. Вы получите расшифровщик и инструкции для него после оплаты получите 1 подтверждение на блокчейне
(обычно это занимает около 1 часа, но иногда (редко) это может занять до 24 часов).
7. Если вы не получите ответ в течение 24 часов после получения платежа или через 4 часа после подтверждения оплаты или через 4 часа после первого сообщения (запрос на кошелек), пожалуйста, свяжитесь с нами одним из способов, перечисленных в разделе FAQ (2 часть) ,
FAQ:
1. Сколько времени мне нужно платить за расшифровку?
У вас есть 12 дней для оплаты после того, как ваши файлы были зашифрованы. Возможно, после этого вы также можете купить расшифровщик, но, возможно, нет, потому что ключи могут быть удалены через некоторое время после окончания срока.
Но помните: чем быстрее вы заплатите, тем дешевле будет.
Количество биткоинов для оплаты вы можете рассчитать здесь https://www.coingecko.com/en/coins/bitcoin
Имейте в виду, что некоторые обменники задерживают платеж на 1-3 дня! ** Также имейте в виду, что Биткоин является очень волатильной валютой, его курс может меняться очень быстро. Поэтому мы рекомендуем произвести оплату в течение нескольких часов.
Но если вы ошиблись за пару долларов - ничего страшного.
** В этом случае вы можете попросить скидку (если обменник вызвал задержку платежа.). Для этого вам надо написать нам сразу после того, как вы узнали об этом, и предоставить скриншоты, подтверждающие ваш обмен
2. Как с вами связаться?
а) Главный контакт - email - basilisque@protonmail.com. (Резервный вариант: basilisque@secmail.pro)
б) Второй контакт - bitmessage (https://bitmessage.org/wiki/Main_Page) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email быстрее, но Bitmessage надежнее.
Если вы не получите ответ через 4 часа после первого сообщения (спросите кошелек), пожалуйста, используйте другой контакт. Это может быть причиной того, что email мертва. Но мы уверены, что с bitmessage ничего не произойдет, и вы все равно можете получить ответ.
3. Каковы гарантии того, что я смогу расшифровать свои файлы после выплаты выкупа?
Мы можем расшифровать некоторые тестовые файлы для вас, если вы нам не верите.
Но это увеличит сумму выкупа на 25 долларов за каждый расшифрованный файл, а максимальное время оплаты будет уменьшено с 12 до 3 дней. Если вы не заплатите в течение 3 дней, выкуп будет увеличен до 500$ или ключи будут удалены.
Важный! Размер каждого файла должен быть менее 5 МБ.
Вы получите незашифрованные файлы через несколько часов.
После этой процедуры вы можете убедиться, что мы можем расшифровать все ваши файлы после выплаты выкупа.
У нас нет причин обманывать вас после получения выкупа, поскольку мы не варвары и, более того, это нанесет ущерб нашему бизнесу.
Несколько примеров:
а) Вы платите в первые 24 часа (100$) после шифрования и не хотите расшифровывать тестовые файлы = 100$
б) Вы платите на 2-й (150$) день после шифрования и хотите расшифровать 1 тестовый файл (25$) = 175$
c) Вы платите на 4-й (250$) день после шифрования и хотите расшифровать 2 тестовых файла (25$ * 2) = 300$
d) Вы платите на 13-й (500$) день после шифрования (если это возможно) и хотите расшифровать 3 тестовых файла (25$ * 3) = 575$
4. Как я могу заплатить выкуп?
После расшифровки тестовых файлов вы увидите сумму оплаты в биткоинах и биткоин-кошелек для оплаты.
В зависимости от вашего местоположения вы можете заплатить выкуп разными способами.
Вот несколько ссылок:
https://localbitcoins.net - покупайте биткоины в большинстве стран с огромным количеством способов.
https://buy.blockexplorer.com - оплата банковской картой
https://www.buybitcoinworldwide.com - ссылки на обмены в других странах.
https://paxful.com - как местные биткоины.
Во многих странах есть биткоин-банкоматы, где вы можете купить биткоины наличными за считанные минуты. Другой хороший способ - купить карту Amazon и обменять ее на биткоины. Если у вас возникнут трудности, напишите нам, мы можем предложить варианты. Но у нас нет других способов оплаты, кроме биткоинов.
Также вы можете использовать Google, чтобы найти информацию о том, как купить биткоины в вашей стране, или воспользоваться помощью более опытных друзей.
5. Как я могу расшифровать мои файлы?
После подтверждения оплаты (обычно это занимает 1 час, максимум 24 часа) вы получите письмо с расшифровщиком и инструкции для него.
ПРЕДУПРЕЖДЕНИЕ!
Использование сторонних решений может навсегда уничтожить ваши файлы.
А использование чужого расшифровщика уничтожит их с вероятностью 100 процентов.
О биткойнах:
https://en.wikipedia.org/wiki/Bitcoin
Технические детали
Проникает и шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: usernamus@protonmail.com
Email: basilisque@protonmail.com, basilisque@secmail.pro
Bitmessage: BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as Basilisque Locker) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author), Michael Gillespie *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
