Pirateware

Pirateware Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Pirateware и First Gui. На файле написано: First Gui.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.
.
Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи видимо находится в разработке и ничего не шифрует. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
What happend to my computer?
Your personal documents and files on this computer have just been encrypted.
The original files have been deleted and will only be recovered by following the steps described below.
The encryption as done with a unique generated encryption key (using AES-256 and RSA-2048).
This means the enciypted files are of no use until they get decrypted using a key stored on a secret server.
The server will only release the key if the amount of Bitcoins displayed is payed.
How to get your hands on a key:
1. Create your own Bitcoin wallet and convert money into Bitcoins.
2. After you have sent the Bitcoins from your own Bitcoin adress type it into contact for adresses.
3. Go under Message and type i have bought a key and would like to receive it and then click "Submit Message"
4. After we have confirmed your purchase and you have gotten you key paste it into the key box and click "start decryption".
Every third day the prices -Anil increase by 0.1 bitcoin. so if you wait three days to pay it will be 0.2 bitcoins.
*Remember the rule or you wont get your key!*
Price for key: 0.1 Bitcoins
Send Bitcoins to this adress
34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
Pirateware
Any attempt to corrupt or remove this software will result in immediate elimination of private key by the server.

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши личные документы и файлы на этом компьютере только что были зашифрованы.
Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий.
Шифрование выполняется с уникальным сгенерированным ключом шифрования (AES-256 и RSA-2048).
Это значит, что заблокированные файлы бесполезны, пока они не будут дешифрованы с ключом, хранящимся на секретном сервере.
Сервер отдаст ключ только в том случае, если указанная сумма биткойнов будет уплачена.
Как получить ключ на руки:
1. Создайте свой собственный биткойн-кошелек и конвертируйте деньги в биткойны.
2. После того, как вы отправили биткойны из вашего личного биткойн-адреса, введите его в контакт для адресов.
3. В поле под "Message" впишите "I have bought a key and would like to receive it" (я купил ключ и хочу его получить), а затем нажмите  кнопку "Submit Message",
4. После того, как мы подтвердим вашу покупку, и вы получили ключ, вставьте его в поле для ключей и нажмите "start decryption".
Каждый третий день цена увеличивается на 0.1 биткойн. Поэтому, если вы подождете три дня для оплаты, это будет 0.2 биткойна.
* Запомните правило, иначе вы не получите свой ключ! *
Цена за ключ: 0.1 биткойна
Отправьте биткойны на этот адрес
34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
Pirateware
Любая попытка испортить или удалить эту программу приведет к немедленной ликвидации закрытого ключа сервером.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы пока ещё не шифруются.
После релиза это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pirateware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.