Если вы не видите здесь изображений, то используйте VPN.

суббота, 15 октября 2016 г.

AiraCrop

AiraCrop Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от части добавляемого расширения. Создан: TeamXRat. Португалоязычная версия более известна под названием NMoreira (Fake Maktub) Ransomware

© Генеалогия: XRat  > NMoreira ⇔ AiraCrop
© Генеалогия: NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляются расширения: 
.airacropencrypted! (середина октября 2016)
.__AiraCropEncrypted! (октябрь 2016)
._AiraCropEncrypted (ноябрь 2016)

Оригинальное имя файла и расширения не изменяются. 
Пример зашифрованного файла Документы.rar.__AiraCropEncrypted! 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: How to decrypt your files.txt

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files visit one of the link and enter your key;
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Alternative link:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
To access the alternate link is mandatory to use the TOR browser available on the link
xxxxs://www.torproject.org/download/download
Key:
D0809D7FF155EDB51834550***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. С помощью шифрования AES256-бит и RSA-2048-бит.
Потому невозможно восстановить файлы без правильного секретного ключа.
Если вы заинтересованы в получении ключа, то посетите одну из ссылок и введите ключ.
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Альтернативная ссылка:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
Для доступа к альтернативной ссылке используйте Tor-браузер, доступный по ссылке
xxxxs://www.torproject.org/download/download
Ключ:
D0809D7FF155EDB51834550 ***

В некоторых вариантах записок упоминается email вымогателей: airacrop@vpn.tg, который также есть на Tor-сайте вымогателей. 

Вот другой вариант записки с email и его перевод на русский язык.

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted, using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files
For information on how to reverse the file encryption
send email to:
airacrop@vpn.tg
enter your KEY in the subject or email body.
=====
Remember your email is not answered within 24 hours,
visit one of the link below to get a new mail contact
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Alternative link:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
To access the alternate link is mandatory to use the TOR browser available on the link
https://www.torproject.org/down!oad/down1oad
Key:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B
=====

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы, используя шифрование AES256-bit и RSA-2048-бит.
Невозможно восстановить файлы без правильного закрытого ключа.
Если вы интересуетесь получением этого ключа и возврате файлов
Для информации о том, как отменить шифрование файлов
отправьте письмо по адресу:
airacrop@vpn.tg
введите свой КЛЮЧ в тему или адрес электронной почты.
=====
Помните, что на ваш email нет ответа в течение 24 часов,
посетите одну из приведенных ниже ссылок, чтобы получить новый почтовый контакт
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Альтернативная ссылка:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
Для доступа к альтернативной ссылке нужно использовать TOR-браузер, доступный по ссылке
https://www.torproject.org/down!oad/down1oad
Ключ:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B

=====


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .bmp, .cat, .chm, .csv, .dat, .db, .DeskLink, .doc, .gif, .gitignore, .h, .ico, .inf, .jpg, .lic, .log, .MAPIMail, .ppt, .py, .pyc, .pyd, .pyo, .sam, .shw, .sst, .sys, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpl, .xls, .xml, .ZFSendToTarget ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с AiraCrop Ransomware:
How to decrypt your files.txt - в разных директориях
<random>.exe - случайное название файла
<random> - случайное название файла без расширения

Записи реестра, связанные с AiraCrop Ransomware:
***

Сетевые подключения:
Email: airacrop@vpn.tgTor-URLs: xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxx://6kaqkavhpu5dln6x.onion
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
xxxx://mvy3kbqc4adhosdy.onion
xxxxs://qsx72kun2efdcli2.onion.to/
xxxxs://qsx72kun2efdeli2.onion.link/
xxxx://qsx72kun2efdeli2.onion



Результаты анализов:
VirusTotal анализ >> + VT >>


Степень распространённости: средняя.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для AiraCrop (NMoreira v.1) >>
Внимательно прочтите инструкцию перед запуском. 
*
Read to links: 
ID Ransomware (ID as NMoreira)
Topic on BC
 Thanks: 
 Michael Gillespie 
 al1963
 xXToffeeXx
 Fabian Wosar

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *