8lock8: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 14 май 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель 8lock8 Ransomware

    Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8 .
    Записка о выкупе READ_IT.txt написана на английском и русском языках. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. Создан на основе криптоконструктора HiddenTear.

    note.JPG
    Рис. Записка о выкупе

    Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения.

    Список файловых расширений, подвергающихся шифрованию:
    .asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip...

    Дешифровка 8lock8 возможна!
    Буквально сегодня стала возможна дешифровка файлов.
    Для расшифровки сначала нужно получить ключ, используя HiddenTear Bruteforcer от Майкла Гиллеспи.

    Скачать HiddenTear Bruteforcer >>>

    Приготовьте 1 зашифрованный PNG-файл (*.png.8lock8), чем меньше его размер, тем лучше.
    Нажмите кнопку "Browse Sample" для загрузки файла в HT BruteForcer (статус файла см. под кнопкой).
    Потом выберите режим "EightLockEight" (это и есть 8lock8) в нижней части и нажмите кнопку "Start BruteForce".

    HTBrute1.png HTBrute2.png

    После того, как ключ (в окне утилиты это Password) будет найден, кликните на "Click here to check file for success" для просмотра дешифрованного файла. Если файл выглядит нормально, то у вас есть правильный ключ!

    Теперь нужно скачать HiddenTear Decrypter от Майкла Гиллеспи.

    Скачать HiddenTear Decrypter >>>

    Получив ключ, скопируйте его и вставьте в HiddenTear Decrypter, введите расширение файлов .8lock8
    Выберите папку для дешифровки файлов и нажмите кнопку "Decrypt My Files".
    По окончании дешифровки в окне утилиты вы увидите зелёную надпись "Files Decrypted".

    HTDecrypt.png

    Примечание:
    Если хэш (последняя строка случайных букв) в вашей записке с требованием выкупа заканчивается на "AH33", то вы можете пропустить работу с HT Bruteforcer и использовать пароль Whendiplomacyends, Warbegins.1933 . Такое решение возможно, если вредоносному ПО не удалось получить доступ к C&C-серверу.

    Источники:
    Шифровальщики-вымогатели
    8lock8 Help & Support Topic (.8lock8) - READ_IT.txt - Ransomware Tech Support and Help
     
    Kиpилл, Охотник и thyrex нравится это.

Поделиться этой страницей