Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Need help to identify a ransomware


  • Please log in to reply
5 replies to this topic

#1 fixiteric

fixiteric

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:07:27 PM

Posted 20 December 2017 - 05:45 PM

Hi Guys,

 

I'm new here and thank you all for your work.

 

First, i'm french excuse me if my english is incorrect.

 

One of our client is infected by a ransomware and we can't identify it. Can you help us with that ? 

 

the file extension is .btc and the instruction file is "instructions.html".

 

2017-51-3-1513809756-encrypted.png

 

 

2017-51-3-1513809756-encrypted.png

Thank you !



BC AdBot (Login to Remove)

 


#2 quietman7

quietman7

    Bleepin' Janitor


  • Global Moderator
  • 51,907 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Virginia, USA
  • Local time:06:27 PM

Posted 20 December 2017 - 06:30 PM

Any files that are encrypted with BTCLocker Ransomware will have the .btc extension appended to the end of the encrypted data filename but that infection is a year old and the ransom note it leaves is different than yours.

The best way to identify the different ransomwares is the ransom note (including it's name), samples of the encrypted files, any obvious extensions appended to the encrypted files, information related to any email addresses or hyperlinks provided by the cyber-criminals to request payment and the malware file responsible for the infection.

You can submit (upload) samples of encrypted files, ransom notes and any contact email addresses or hyperlinks provided by the cyber-criminals to
ID Ransomware for assistance with identification and confirmation. This is a service that helps identify what ransomware may have encrypted your files and then attempts to direct you to an appropriate support topic where you can seek further assistance. Uploading both encrypted files and ransom notes together provides a more positive match and helps to avoid false detections. Any contact email addresses or hyperlinks provided by the criminals may also be helpful with identification. If ID Ransomware cannot identify the infection, you can post the case SHA1 it gives you in your next reply for Demonslay335 to manually inspect the files.

Example screenshot:
2016-07-01_0936.png
.
.
Windows Insider MVP 2017-2018
Microsoft MVP Reconnect 2016
Microsoft MVP Consumer Security 2007-2015 kO7xOZh.gif
Member of UNITE, Unified Network of Instructors and Trusted Eliminators

If I have been helpful & you'd like to consider a donation, click 38WxTfO.gif

#3 Emmanuel_ADC-Soft

Emmanuel_ADC-Soft

  • Members
  • 373 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Paris
  • Local time:12:27 AM

Posted 21 December 2017 - 04:34 AM

Hi Guys,

 

I'm new here and thank you all for your work.

 

First, i'm french excuse me if my english is incorrect.

 

One of our client is infected by a ransomware and we can't identify it. Can you help us with that ? 

 

the file extension is .btc and the instruction file is "instructions.html".

 

2017-51-3-1513809756-encrypted.png

 

 

2017-51-3-1513809756-encrypted.png

Thank you !

Bonjour,

Je suis français également. Tu peux effectivement facilement identifier un ransomware à partir du site https://id-ransomware.malwarehunterteam.com/index.php?lang=fr_FR

Si le ransomware n'est pas identifié sur ID Ransomware, alors il est conseillé de téléchargr 2-3 fichiers cryptés (pdf/doc/jpg/xls) avec la demande de rançon (ransom note, dans votre cas le fichier "instructions.html") ici et également de publier un lien sur ce forum via we transfer https://wetransfer.com/ ou google drive par exemple pour permettre aux autres experts de ce forum de t'aider. Bon courage, Emmanuel

emte@adc-soft.com



#4 fixiteric

fixiteric
  • Topic Starter

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:07:27 PM

Posted 21 December 2017 - 07:33 AM

 

Hi Guys,

 

I'm new here and thank you all for your work.

 

First, i'm french excuse me if my english is incorrect.

 

One of our client is infected by a ransomware and we can't identify it. Can you help us with that ? 

 

the file extension is .btc and the instruction file is "instructions.html".

 

2017-51-3-1513809756-encrypted.png

 

 

2017-51-3-1513809756-encrypted.png

Thank you !

Bonjour,

Je suis français également. Tu peux effectivement facilement identifier un ransomware à partir du site https://id-ransomware.malwarehunterteam.com/index.php?lang=fr_FR

Si le ransomware n'est pas identifié sur ID Ransomware, alors il est conseillé de téléchargr 2-3 fichiers cryptés (pdf/doc/jpg/xls) avec la demande de rançon (ransom note, dans votre cas le fichier "instructions.html") ici et également de publier un lien sur ce forum via we transfer https://wetransfer.com/ ou google drive par exemple pour permettre aux autres experts de ce forum de t'aider. Bon courage, Emmanuel

emte@adc-soft.com

 

Bonjour Emmanuel,

 

Merci pour ta réponse. ID ransomware m'indique 3 ransomware probables (Jigsaw, Ranion ou Globeimposter 2) mais le fichiers instruction ne semble pas correspondre avec ceux que je trouve concernant ces 3 ransomware.

Comme tu me l'as suggéré j'ai envoyé un échantillons sur le lien que tu as partagé en voici l'equivalent sur wetransfert https://we.tl/L4AkQbRmhB

 

Merci pour ton aide.



#5 Emmanuel_ADC-Soft

Emmanuel_ADC-Soft

  • Members
  • 373 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Paris
  • Local time:12:27 AM

Posted 21 December 2017 - 08:15 AM

Bonjour,

C'est malheureusement GlobeImposter 2 compte tenu du fichier instructions.html (exemple très proche : https://twitter.com/LawrenceAbrams/status/889895785462104064) pour lequel il n'existe pas de possibilité de récupération des fichiers cryptés à ce jour.

 

Je te conseille  de suivre cette partie du forum dédié à GlobeImposter 2 et de garder précieusement tes données cryptées en vue d'une éventuelle solution qui sera trouvée un jour.

Bon courage, tu peux me contacter par email si nécessaire.

Emmanuel



#6 fixiteric

fixiteric
  • Topic Starter

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:07:27 PM

Posted 21 December 2017 - 08:23 AM

Bonjour,

C'est malheureusement GlobeImposter 2 compte tenu du fichier instructions.html (exemple très proche : https://twitter.com/LawrenceAbrams/status/889895785462104064) pour lequel il n'existe pas de possibilité de récupération des fichiers cryptés à ce jour.

 

Je te conseille  de suivre cette partie du forum dédié à GlobeImposter 2 et de garder précieusement tes données cryptées en vue d'une éventuelle solution qui sera trouvée un jour.

Bon courage, tu peux me contacter par email si nécessaire.

Emmanuel

Ok Merci encore Emmanuel, nous en étions arrivé à cette conclusion mais étant donné que l'extension des fichiers et le nom du fichier d'instruction sont différent nous avions un doute.

 

Nous allons resté à l'écoute des évolutions concernant ce ransomware !

 

Eric






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users