NUEVA VARIANTE DE RANSOMWARE POLSKI (alias AESXWIN)
Nueva variante de esta familia de ransowmares AESXWIN , que en otra versión anterior se identificaba como Enigma, aunque igualmente añadía .aes a los ficheros cifrados
– Queda residente.- Codifica ficheros bin, bmp, dat, doc, txt, xml, etc.Añade a los ficheros cifrados la extensión .aes
El preanalisis de virustotal sobre el fichero muestra recibido
398fcb54.gxe
to que presenta en fichero ###0DZYSKAJ-SWOJE-PLIKI.TXT es el siguiente:
$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$- P_o_l_s_k_i – – r_a_n_s_o_m_w_a_r_e $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-
$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$- Masz problem ze znalezieniem potrzebnych danych ? Nie możesz otworzyć swoich dokumentów? Po otworzeniu ważnych plików widzisz tylko nic nie mówiący, dziwny ciąg znaków?
Twoje istotne pliki zostały zaszyfrowane ! Twoje zdjęcia, dokumenty, bazy danych, zostały zaszyfrowane nie mozliwym do zlamania algorytmem aes-256 Metody tej do szyfrowania zawartosci dokumentów uzywaja sluzby wywiadowcze I wojsko. $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$- Gdy to czytasz proces jest zakończony, wytypowane pliki zostały zaszyfrowane a sam program usunięty z twojego komputera. Odzyskac twoje dane mozna tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla ciebie! Dwa pliki odszyfrujemy bez opłaty aby nie być gołosłownymi, za pozostałe będziecie państwo musieli zapłacić 100$ Aby odzyskać pliki skontaktuj się z nami pod adresem: Hc9@2.pl lub Hc9@goat.si Radzimy decydować się szybko, 4 dni od zaszyfrowania opłata zostanie podniesiona do 200$. $$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$-$$- Kontaktujac sie z nami pamietaj aby podac id-komputera I date DANE IDENTYFIKACYJNE: IP=84.77.141.155 ID=b0ec6dd3-9ffa-477a-aeda-c4899cfb16f7 Data=04-10-2017 17:10:18
398fcb54.gxe
https://www.virustotal.com/es/file/666fccec3e23dac827bab687830e168b0ace81385d82c54dbe0113ff71a0a3b8/analysis/1507189887/
TRADUCCION:
P_o_l_s_k_i – – r_a_n_s_o_m_w_a_r_e ¿Tiene problemas para encontrar los datos que necesita? ¿No puede abrir sus documentos? Cuando abre archivos importantes, sólo ve una cadena extraña que no habla.
¡Sus archivos importantes han sido cifrados! Sus fotos, documentos, bases de datos, fueron encriptados con un algoritmo no-breaking llamado aes-256. Este método se utiliza para cifrar el contenido de los documentos utilizados por los servicios de inteligencia y los militares. Cuando finaliza este proceso, los archivos seleccionados se cifran y el programa se quita del equipo. Sólo puede recuperar sus datos utilizando un programa de descifrado dedicado, con una clave de una sola vez generada exclusivamente para usted! Dos archivos se descifran de forma gratuita, por lo que no tendrá que pagar los restantes $ 100. Para recuperar archivos, póngase en contacto con nosotros en: Hc9@2.pl o Hc9@goat.si Le recomendamos que decida rápidamente, 4 días después de que el pago encriptado se elevará a $ 200. Póngase en contacto con nosotros para recordar la fecha id-computer DATOS DE IDENTIFICACIÓN: IP = xxxxxxxxxxx ID = b0ec6dd3-9ffa-477a-aeda-c4899cfb16f7 Date = 04-10-2017 17:10:18
__________
Vistos los contactos ofrecidos, se ve que corresponden a Polonia y Bucarest (Rumania)
Hc9@2.pl
Nombre del Host: 2.plDirección de IP: 185.84.137.70 [whois]Código de País: POL / PL PolandPaís: Poland
……
Hc9@goat.si Nombre del Host: goat.siDirección de IP: 185.100.85.212 [whois]Código de País: ROU / RO RomaniaPaís: RomaniaRegión: 10Ciudad: Bucharest
_________
Dicha versión del ELISTARA 37.63 que lo detecta y elimina, estará disponible en nuestra web a partir del 6/10 prox
saludos
ms, 5/10/2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.