• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Surprise: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,505
Шифровальщик-вымогатель Surprise: Не подарок, а сюрприз

Проявился новый вымогатель под названием Surprise, который представляет собой модифицированную версию вымогательского ПО с открытым исходным кодом EDA2, разработанного турецким исследователем Ютку Сеном. Оказавшись на системе, вредонос начинает с помощью алгоритма AES-256 шифрование содержащихся на компьютере файлов и добавляет к ним расширение .surprise. Вымогательскими записками к жертве являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе.

Файл DECRYPTION_HOWTO.Notepad содержит также инструкции по дешифрованию. Пользователям рекомендуется связаться с разработчиками для получения дальнейших инструкций. Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 BTC (на время исследования, что эквивалентно US $ 206,63 - US $ 10331,25). Условия выплаты обсуждаются индивидуально.



Текстовый вариант записки и перевод на русский язык

What happened to your files?
Что случилось с файлами?
All of your files were protected by a strong encryption.
Все ваши файлы защищены сильным шифрованием.
There is no way to decrypt your files without the key.
Невозможно дешифровать файлы без ключа.
If your files not important for you just reinstall your system.
Если файлы для вас не важны, переустановите систему.
If your files is important just email us to discuss the price and how to decrypt your files.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Write your Email to both email addresses PLS
Напишите нам на оба email-адреса, пож-та
We accept just BITCOIN if you don’t know what it is just google it.
Мы берём только Bitcoin, если не знаете, что это, погуглите.
We will give instructions where and how you buy bitcoin in your country.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
You can send us a 1 encrypted file for decryption.
Вышлите нам 1 зашифрованный файл для дешифровки.
Feel free to email us with your country and computer name and username of the infected system.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.


Список файловых расширений, подвергающихся шифрованию Surprise:
.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl

Файлы связанные с Surprise:
Код:
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\surprise.bat
%Desktop%\Encrypted_Files.Notepad

В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.

По словам эксперта компании PrivacyPC Дэвида Балабана, проанализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.


info-png.28850
Закон об официальном запрете биткоинов в РФ
 
Назад
Сверху Снизу