Evil Ransomware
File0Locked KZ Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email и прислать UID, чтобы вернуть файлы. Название оригинальное, указано в записке, а по PDB-файлу название - AESCrypt. Второе название в заголовке статьи дано по использованному расширению и домену KZ (Казахстан).
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .file0locked
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML
Содержание записки о выкупе:
Hello.
Your UID: 3DF586F6
Its evil ransomware. As you can see some of your files have been encrypted!
Encryption was made using a unique strongest AES key.
If you want restore your files you need to BUY (sorry, nothing personal, its just business) the private key, send me your UID to r6789986@mail.kz
Перевод записки на русский язык:
Привет.
Ваш UID: 3DF586F6
Это evil ransomware. Как вы могли заметить ваши файлы зашифрованы!
Шифрование сделано с помощью уникального сильнейший AES ключа.
Если хотите восстановить файлы вам нужно купить (извините, ничего личного, это только бизнес) частный ключ, пришлите мне ваш UID на r6789986@mail.kz
Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в данном случае это JavaScript-файл), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Перед шифрование проверяет наличие в системе отладчиков и работу на виртуалке.
Удаляет все файлы с расширениями .exe и .jse из директорий:
%Temp%
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .certs, .cr2,
.crt, .crw, .dbf, .dcr, .der, .dng, .doc, .dwg, .dxf, .dxg, .eps, .erf, .img, .indd, .jpg, .kdc, .mdb, .mdf, .mef, .mrw,
.nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef,
.pem, .pfx, .ppt, .psd, .pst, .ptx, .pub, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2,
.srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls (65 расширений).
В коде было указано некое некорректное расширение: img_.jpg, которое я разделил на .img и .jpg.
Это некоторые документы MS Office, OpenOffice, RTF, текстовые файлы, файлы сертификатов, фотографии, файлы образов и пр. В коде было указано некое некорректное расширение: img_.jpg, которое я разделил на .img и .jpg.
Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML
<random>.exe
<random>.tmp
<random>.yum
file0locked.js
background.png
Расположение:
%SystemDrive%\Documents and Settings\All Users\Desktop\HOW_TO_DECRYPT_YOUR_FILES.HTML - записка о выкупе
%User%/AppData/Local/Temp/list.txt - список зашифрованных файлов
%TEMP%\54.yum
C:\VxStream\002.jse
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Много, см. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >> Ещё >>
Symantec Ransom.Evil >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Twitter ID Ransomware (ID as Evil) Write-up (n/a)
Thanks: Michael Gillespie Jiri Kropac Thyrex *
© Amigo-A (Andrew Ivanov): All blog articles.
