SnakeLocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные с помощью AES/RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: SnakeLocker. На файле написано: SnakeLocker.exe. Написан на языке программирования Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .snake и .TGIF
Образец этого крипто-вымогателя был обнаружен в июле 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока шифрует только файлы в специальном месте — во временной папке "_MEI2242"
Записка с требованием выкупа называется: INSTRUCTIONS-README.html
Содержание записки о выкупе:
Your files have been locked!
---
Your files have been securely encrypted with a top notch, extremely secure encryption algorithm. The only way you can
get these files back is to pay a ransom of 0.1 Bitcoins.
To proceed to the next step in this process, download the Tor Browser Bundle here. Open the Tor Browser bundle and
proceed to the following link:
xxxxxxxx.onion/decrypt.php
This link will give you payment instructions.
Don't know how to get Bitcoins? No problem. You can buy bitcoins at any of the following websites:
1. xxxxs://localbitcoins.com/ (cash)
2. xxxxs://buy.bitcoin.com/ (credit card)
---
For more options on purchasing bitcoins, see this article.
Перевод записки на русский язык:
Ваши файлы заблокированы!
---
Ваши файлы были надежно зашифрованы с помощью первоклассного, чрезвычайно безопасного алгоритма шифрования. Единственный способ, которым вы можете вернуть эти файлы, это заплатить выкуп в размере 0,1 биткоинов.
Чтобы перейти к следующему этапу этого процесса, загрузите пакет Tor Browser Bundle. Откройте пакет Tor Browser и перейдите по следующей ссылке:
xxxxxxxx.onion/decrypt.php
Эта ссылка даст вам инструкции по оплате.
Не знаете, как получить биткоины? Нет проблем. Вы можете купить биткоины на любом из следующих веб-сайтов:
1. xxxxs://localbitcoins.com/ (наличные)
2. xxxxs://buy.bitcoin.com/ (кредитная карта)
---
Сведения о покупке биткоинов см. в этой статье.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Файлы, связанные с этим Ransomware:
INSTRUCTIONS-README.html
SnakeLocker.exe
\_MEI2242\
Crypto.Cipher._AES.pyd
Microsoft.VC90.CRT.manifest
SnakeLocker.exe.manifest
_ctypes.pyd
_hashlib.pyd
_multiprocessing.pyd
_socket.pyd
_ssl.pyd
bz2.pyd
msvcm90.dll
msvcp90.dll
msvcr90.dll
pyexpat.pyd
python27.dll
pywintypes27.dll
select.pyd
unicodedata.pyd
win32api.pyd
win32console.pyd
win32event.pyd
win32gui.pyd
Include\pyconfig.h
Расположения:
\Temp\_MEI2242\Crypto.Cipher._AES.pyd
\Temp\_MEI2242\Microsoft.VC90.CRT.manifest
\Temp\_MEI2242\SnakeLocker.exe.manifest
\Temp\_MEI2242\_ctypes.pyd
\Temp\_MEI2242\_hashlib.pyd
\Temp\_MEI2242\_multiprocessing.pyd
\Temp\_MEI2242\_socket.pyd
\Temp\_MEI2242\_ssl.pyd
\Temp\_MEI2242\bz2.pyd
\Temp\_MEI2242\msvcm90.dll
\Temp\_MEI2242\msvcp90.dll
\Temp\_MEI2242\msvcr90.dll
\Temp\_MEI2242\pyexpat.pyd
\Temp\_MEI2242\python27.dll
\Temp\_MEI2242\pywintypes27.dll
\Temp\_MEI2242\select.pyd
\Temp\_MEI2242\unicodedata.pyd
\Temp\_MEI2242\win32api.pyd
\Temp\_MEI2242\win32console.pyd
\Temp\_MEI2242\win32event.pyd
\Temp\_MEI2242\win32gui.pyd
\Temp\_MEI2242\Include\pyconfig.h
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> +VT >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Имеется также доделанная версия, которая может шифровать файлы уже в директориях пользователя. Удаляет теневые копии файлов.
Расширение: .TGIF
Список файловых расширений: тот же.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as SnakeLocker) Write-up, Write-up, Topic of Support *
Thanks: Jakub Kroustek Michael Gillespie Lawrence Abrams TrendMicro
© Amigo-A (Andrew Ivanov): All blog articles.
