вторник, 16 августа 2016 г.

Shark RaaS

Shark Ransomware 


   Этот вымогательский Project Shark даёт потенциальным преступникам возможность создавать своих собственных вымогателей, настраиваемых под свои желания без необходимости иметь навыки в программировании. Достаточно просто заполнить форму и нажать на кнопку создания собственного вымогателя. При использовании этого сервиса разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. 

★ Для справки:
RaaS (Ransomware as a Service) — вымогатель как услуга, бизнес-модель. Стоимость услуги составляет обычно 20-30% от суммы выкупа, установленного для жертвы вымогателем. Оплата выкупа производится только в Bitcoin. Разработчики проекта удерживают установленный процент, а остальную сумму переводят своим аффилятам.

Релизный Project Shark начал работу в июле 2016 года и был размещен на общедоступном сайте на базе WordPress. Это необычно, так как RaaS и разработчики вымогателей, как правило, размещают свои сайты в сети анонимных ссылок TOR, т.к. это затрудняет властям поиск и идентификацию преступников. 

Любой желающий стать партнером-дистрибьютором [одновременно и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. 

В этом архиве содержится крипто-строитель (крипто-конструктор) Payload Builder.exe, текстовая записка Readme.txt и готовый исполняемый файл вымогателя Shark.exe

Если по неосторожности запустить исполняемый файл ради посмотреть, то он сразу начнет свою работу по шифрованию файлов. Вымогательство — это преступление, а не игра.

Большинство вымогателей в качестве предлагаемых услуг используют свой веб-сайт, чтобы позволить настроить исполняемый файл до его загрузки. Shark RaaS делает иначе, т.к. предоставляет базовый исполняемый файл вымогателей, позволяя потенциальным преступникам самим, на своем ПК, сгенерировать желаемую конфигурацию, изменяя функциональность базового комплекта вымогателя, и создать собственный вымогатель.

Для этого настраиваются параметры конфигурации: Bitcoin-адрес, директории размещения, форматы целевых файлов, сумма выкупа, включая цены по странам, email-адрес для контакта. К зашифрованным файлам будет добавляться расширение .locked 

Имя каждого зашифрованного файла будет храниться в специальном файле files.ini в директории %UserProfile%\AppData\Roaming\Settings\ . Также будет извлечен exe-файл со случайным именем под названием "Decrypter" в  директорию %UserProfile%\AppData\Roaming\Settings.

Когда закончится шифрование, будет запущен "Decrypter", в окне которого говорится "Data on this device were locked" (Данные на этом устройстве были заблокированы), а на третьем шаге процесса, объясняется, как платить выкуп. Жертва может выбрать 30 различных языков для отображения инструкции в экрана декриптора.

От жертвы требуется ввести свой email-адрес, а затем произвести оплату по указанному Bitcoin-адресу. Затем сообщается, что пароль будет отправлен жертве после произведения ею оплаты.

Если будет какая-либо дополнительная информация, то я обновлю эту статью. Источник

Распространяется как услуга — RaaS. 

Определяется продуктами Symantec как Trojan.Ransomcrypt.BG >>

 Список файловых расширений, подвергающихся шифрованию: 
.bmp, .doc, .docx, .gif, .jpeg, .jpg, .m4v, .mp4, .odt, .pdf, .png, .ppt, .pptx, .psd, .rtf, .txt, .xls, .xlsx (18 расширений).
 Это умолчательный список. Нужный список также задаётся клиентом в Payload Builder.exe

Файлы, связанные с Shark Ransomware: 
Payload Builder.exe
%AppData%\Settings\[Random_chars].exe 
%AppData%\Settings\file.ini 
%SystemDrive%\Documents and Settings\All Users\Desktop\UNLOCK ME.url 

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\decrypter=%AppData%\Settings\[Random_chars].exe 

Результаты анализов:
Symantec: Ransom.SharkRaaS >>

 Степень распространённости: пока не определена. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton