Serpico

Serpico Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50 евро, чтобы вернуть файлы обратно. Никаких расширений к зашифрованным файлам не добавляет. Требования выкупа написаны на хорватской латинице, потому вымогатель ориентирован на сербских, хорватских и боснийских пользователей, т.к. все они поймут написанное. Называет себя CryptoLocker.

© Генеалогия: DetoxCrypto > Serpico 

Запиской с требованием выкупа выступает экран блокировки и скринлок, встающий обоями рабочего стола (файл bg.jpg). 

Экран блокировки

Содержание текста с экрана:
SVI VAŠI FAJLOVI SU ZAKUUČANI!
Svi važni fajlovi na vašem kompjuteru su zaključani i nemoguće je razbiti enkripciju. NEMOGUĆE JE RAZBITI CryptoLocker.
Ako želite fajlove natrag javite se na mail:
motox2016@mail2tor.com
NAPOMENA:
Nemojte brisati ovaj program jer će biti potreban da bi vratili fajlove. Dobit ćete na mail upute i ključ koji ćete unijeti i svi fajlovi će biti vraćeni. Vrlo jednostavno, samo se javite na mail i dogovorimo se oko povratka fajlove.
Ako pokušate očistit ovaj program ili sami nešto popraviti moguće je da zauvijek oštetite i izgubite podatke zato je najbolje rješenje da se javite.
OTKUPNINA ZA SVE VAŠE FAJLOVE I TRAJNU ZAŠTITU OD SLIČNIH PROVALA JE SAMO 50€. JAVITE SE NA MAIL.

Перевод текста на русский язык (перевод автора блога):
Все ваши файлы заблокированы!
Все важные файлы на вашем компьютере блокированы и невозможно сломать шифрование. Невозможно сломать CryptoLocker.
Если хотите файлы назад, пишите на почту:
motox2016@mail2tor.com
Примечание:
Не удаляйте эту программу, она будет нужна для возврата файлов. Получите инструкции по почте и ключ, который вернет все файлы. Проще говоря, напишите нам на email и договоримся о возврате файлов.
Попытки удалить эту программу или что-то исправить, приведут к вреду и потере данных, потому лучшее решение - ответить нам.
Сумма выкупа всех ваших файлов и гарантия защиты от подобных вторжений составляет всего 50 €. Ответ на почту.

Примечательно, что почта вымогателей motox2016@mail2tor.com уже засветилась в DetoxCrypto Ransomware. Потому можно заключить, что Serpico запущен той же группой злоумышленников-вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений (в том числе маскировка под PDF-файл), с помощью инфицированных файлов и попутных загрузок.

Список файловых расширений, подвергающихся шифрованию: 
 .3ds, .7z, .acbl, .all, .backup, .bak, .bmp, .bz2, .cab, .cdr, .cer, .cpr, .crt, .cs, .csv, .dat, .db, .dbf, .der, .doc, .docx, .dwg, .eps, .gif, .ibd, .ibz, .iso, .jpeg, .jpg, .mdb, .mdf, .myd, .pdf, .php, .png, .ppt, .pptx, .psb, .pst, .rar, .rns, .s3db, .sql, .sqlite, .sqlitedb, .tar,  .txt, .xls, .xlsx, .xlt, .xltx, .xml, .zip (53 расширения). 

Файлы, связанные с Serpico Ransomware:
C:\Users\User_name\Desktop\MotoxUnlocker.exe - копия файла Serpico.exe;
и группа в папке Serpico: 
C:\Users\User_name\Serpico\bg.jpg - изображение для обоев;
C:\Users\User_name\Serpico\key.pkm - хранит значение открытого ключа;
C:\Users\User_name\Serpico\Serpico.exe - основной исполняемый файл;
C:\Users\User_name\Serpico\sound.wav - музыка для фона;
C:\Users\User_name\Serpico\total.pkm - хранит идентификатор элемента управления.

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.