Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 октября 2017 г.

Ordinal

Ordinal Ransomware

(шифровальщик-вымогатель, тест-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: Ordinal. На файле написано: Main. Экспериментальная (тестовая) разработка.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> Ordinal

К зашифрованным файлам добавляется расширение .Ordinal

Образец этого крипто-вымогателя обнаружен во второй половине октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, не доработан или это экспериментальная версия. 

Записка с требованием выкупа называется: READ Me To Get Your Files Back.txt.Ordinal

Содержание записки о выкупе:
ORDINAL RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee. Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key.
-
WHAT NOT TO DO
DO NOT RESTART/TURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
-
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
-
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Identification: VU0PGNJ2
Amount To Send: 1.00 BTC
Contact: TEST@protonmail.com
Click on Address and ID to copy

Перевод записки на русский язык:
ORDINAL RANSOMWARE
Следуйте инструкциям, чтобы разблокировать данные
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с шифрованием военного класса AES-256
ИНСТРУКЦИИ
Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп. После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальное состояние.
Отправьте требуемую плату (см. Ниже) на Bitcoin-адрес (см. Ниже). После того, как вы отправили требуемую плату на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Для нас может потребоваться 12-24 часа. Вы получите программу расшифровки + ключ дешифрования.
-
ЧЕГО НЕ ДЕЛАТЬ
НЕ ПЕРЕЗАГРУЖАЙТЕ / НЕ ВЫКЛЮЧИТЕ КОМПЬЮТЕР
НЕ ПОПЫТАЙТЕСЬ САМИ ВОССТАНОВИТЬ ФАЙЛЫ 
НЕ ЗАКРЫВАЙТЕ ЭТУ ПРОГРАММУ
-
КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ ОТ СЕГО ДНЯ
-
Биткоин-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Идентификация: VU0PGNJ2
Сумма для отправки: 1.00 BTC
Контактное лицо: TEST@protonmail.com
Нажмите Адрес и ID, чтобы скопировать

Также устанавливает своеобразные обои на Рабочий стол, но без текста о выкупе. 



Технические детали

Нет данных о массовом распространении. Если будет финальный релиз, то вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Не шифрует файлы, если определяет, что запущен на виртуальной машине, но этот функционал ещё не отлажен. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Main.exe
READ Me To Get Your Files Back.txt.Ordinal

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TEST@protonmail.com
BTC: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
xxxxs://imgur.com/Byn2W5h - использует для загрузки обоев
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: очень низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *