Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 июля 2017 г.

OXAR

OXAR Ransomware

Kappa Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Название проекта Data Locker. На файле написано: Data Locker.exe. Среда разработки: Visual Studio 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> OXAR > Kappa

К зашифрованным файлам добавляется расширение .OXR

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Files successfully encrypted !
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
But if you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins. 
And send the correct amount to the address specified in this window.
And specify your client ID and your e-mail adress in the description when you send the payment via https://blockchain.info/fr/wallet/#/
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 
Do not modify the ".OXR" extension of your encrypted files, it will become unrecoverable
---
Step one: 
Create a portfolio at https://blockchain.info/fr/wallet/#/
Step two: 
Buy 100$ USD https://blockchain.info/fr/wallet/#/buy-sell
Step three: 
Send 100$ USD in Bitcoin at 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Your working documents, holiday photos, children, videos, and all your valuable documents have been encrypted with a powerful encryption algorithm, follow the instructions given to retrieve the encryption key

Перевод записки на русский язык:
Файлы успешно зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
И укажите свой ID клиента и email-адрес в описании при отправке платежа через https://blockchain.info/fr/wallet/#/
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы платите!
Не изменяйте расширение ".OXR" у ваших зашифрованных файлов, они станут невосстановимыми
---
Шаг 1: 
Создайте учётку на https://blockchain.info/fr/wallet/#/
Шаг 2: 
Купите 100$ США https://blockchain.info/fr/wallet/#/buy-sell
Шаг 3: 
Пошлите 100$ США в биткоинах на 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Ваши рабочие документы, праздничные фотографии детей, видеоролики и все ваши ценные документы были зашифрованы с помощью мощного алгоритма шифрования, следуйте инструкциям, приведенным для получения ключа шифрования

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb, .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid, .mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg,.part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip (72 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Data_Locker.exe 
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://blockchain.info/fr/wallet/#/
BTC: 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 августа 2017:
Пост в Твиттере >>
Скриншоты новой версии и требования о выкупе.
Результаты анализов: VT

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .PEDO
Записка: What happens with my files.txt
Файлы: PEDO.exe
Email: oxar.ransomware666@protonmail.com
Результаты анализов: HA+VT
<< Скриншот с требованиями выкупа
Появился звуковой информатор жертвы. 

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .ULOZ
Файл: Ableton-live-Suite-v95-WiN-x86-x64.exe (ras.exe)
Записка: 1 What happens with my files.txt
Результаты анализов: VT

Обновление от 20 августа 2017:
Пост в Твиттере >>
https://twitter.com/struppigel/status/899541969675972608
Расширение: .OXR
Email: maitregauillaume@protonmail.com
BTC: 1DpDJJwnXLf5RXDWN3Ff6fmfjKWbWc9RHw
Скриншоты >>
Результаты анализов: VT


Обновление от 21 августа 2017:
Kappa Ransomware
Пост в Твиттере >>
Файл: Kappa Ransomware.exe
Результаты анализов: HA+VT
Скриншот экрана блокировки >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Поддаётся дешифровке!
Файлы можно дешифровать!
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *