понедельник, 6 июня 2016 г.

Herbst (Autumn) Ransomware


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. Ориентирован на немецкоязычных пользователей. К зашифрованным файлам добавляется расширение .herbst. Название происходит от немецкого слова "der Herbst" — "осень" (англ. Autumn). Оригинальное название: Kryptolocker.

  Записка с требованием выкупа "Encrypted.html" написана на немецком языке и представляет собой диалоговое окно с формой вставки текстовой информации, необходимой для дешифровки файлов после получения оплаты. 

  Herbst шифрует данные в каталоге StartupPath и папках пользователя Desktop, MyPictures, MyMusic, Personal. Шифруются не только пользовательские, но и исполняемые файлы и даже ярлыки (см. скриншот ниже). 

Перевод записки о выкупе на русский язык: 
Ваш компьютер только что был зашифрован с помощью AES 256, потому любые средства бесполезны, ваши данные только с соответствующим ключом могут быть восстановлены. Вы могли бы данные и сами расшифровать, но на это в настоящее время по техническим меркам уйдёт 100 лет.
Потому мы хотим попросить небольшую разовую плату за ключ дешифрования. Если вы согласны с этим предложением, то мы хотим вас поскорее осчастливить, потому что наше интернет-хранилище ограничено по размерам и, как это не прискорбно, вскоре мы будем вынуждены удалить данные.
Отправьте 0,1 Bitcoin на следующий Bitcoin-адрес, чтобы получить ключ дешифрования. После получения оплаты мы пришлем вам 
Transaktions ID, который нужно вставить в текстовом поле и нажать кнопку Decrypt (Дешифровать).

По данным специалистов Fortinet, которые обнаружили частично недоделанный функционал, этот криптовымогатель скорее всего был выпущен в бета-варианте для изучения способности антивирусов его обнаруживать. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .doc, .docx, .ini, .lnk, .log, .tmp, .txt, .xls, .xlsx, .xml и другие. 

Файлы, связанные с Herbst Ransomware:
Encrypted.html
Kryptolocker.exe
C:\DOCUME~1\User\LOCALS~1\Temp\<random>.tmp

C:\Documents and Settings\User\Local Settings\Temp\<random>.tmp

Записи реестра, связанные с Herbst Ransomware:
См. ниже анализы

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Manalyzer анализ >>

Степень распространённости: очень низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *