.aes_ni_0day (.aes-ni)– входит в “семейство” .aes256 вымогателей-шифровальщиков. Данный зловред шифрует информацию пользователей используя стойкие к расшифровке алгоритмы AES-256 и RSA-2048. Схема распространения стандартная: обычный спам на электронную почту и загрузки с сомнительных сайтов. Письма по электронной почте обычно замаскированы под уведомления из банков, налоговой, счета от контрагентов и акты выполненных работ. Таким образом данный зловред атакует в основном корпоративный сектор (фирмы, предприятия) и распространяется в локальных сетях
Примечательно что связь с злоумышленниками ведется через e-mail либо через форму обратной связи на сайте в сети TOR и способы оплаты индивидуальны (Bitcoin, PayPal, Яндекс.Деньги…). Так же злоумышленников можно просить о скидке 🙂
Форма обратной связи шифровальщика aes_ni_0day
Все предыдущие версии данного шифровальщика не инфицировали пользователей находящихся в СНГ распознавая версия языка Ru-ru системы и используя защиту от запуска для определенных IP. То есть фактически зловред был ориентирован на западные “рынки”. Но последние несколько недель мы фиксируем заражения и пользователей в СНГ.
“Инструкции по восстановлению файлов” хранятся в текстовом документе !!! READ THIS – IMPORTANT !!!.txt.
█████╗ ███████╗███████╗ ███╗ ██╗██╗
██╔══██╗██╔════╝██╔════╝ ████╗ ██║██║
███████║█████╗ ███████╗█████╗██╔██╗ ██║██║
██╔══██║██╔══╝ ╚════██║╚════╝██║╚██╗██║██║
██║ ██║███████╗███████║ ██║ ╚████║██║
╚═╝ ╚═╝╚══════╝╚══════╝ ╚═╝ ╚═══╝╚═╝
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any “decryption tools”.
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
Содержимое файла !!! READ THIS – IMPORTANT !!!.txt
Каждому зараженному ПК присваивается уникальный идентификатор. AES-NI шифрует документы, таблицы, файлы БД, PDF файлы, фотографии, музыку, видео и архивы. Система же продолжает работать в штатном режиме.
Мы настоятельно рекомендуем НЕ ПЛАТИТЬ за расшифровку а попытаться договорится с авторами данного вируса если Вы проживаете на территории СНГ. Так же воспользуйтесь инструкциями ниже для самостоятельной расшифровки хотя-бы части информации.
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.
Как было отмечено, программа-вымогатель .aes-ni блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Дешифратор – программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.
Загрузить программу-дешифратор восстановления данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.
Загрузить программу для удаления вируса-шифровальщика .aes_ni_0day
