суббота, 30 января 2016 г.

Hi Buddy!

Hi Buddy! Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 0.77756467 биткоинов за расшифровку. Зашифрованные файлы получают расширение .cry

 © Генеалогия: Hidden Tear >> Hi Buddy!

  После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.



Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***

Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***

Список расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (23 расширения). 

Файлы, связанные с этим Ransomware:
READ_ME.txt 
ransom.exe
t11.exe
sec_check.scr.exe

Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft 

Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hi Buddi!)
 Write-up, Topic
 Threat Landscape Dashboard
 Thanks: 
 Mosh
 Michael Gillespie
 McAfee
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *