пятница, 23 сентября 2016 г.

Cyber SpLiTTer Vbs

Cyber SpLiTTer Vbs Ransomware

(фейк-шифровальщик)

(шифровальщик-вымогатель)


   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин за дешифровку файлов. Название оригинальное, написано в окне экрана блокировки. Новая версия уже шифрует данные с помощью AES-256. Разработчик: Cyber SpLiTTer Vbs Team.

© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs

В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа. 

Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".

Перевод на русский язык:
твои изображения, видео и документы зашифрованы.

По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся. 

Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях

Детект на VirusTotal >>

Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам

Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе. 

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT

Обновление от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn


Обновление от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn  





Обновление от 13-14 февраля 2017:
Пост в Твиттере >>
Название: Blue Eagle
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT
Скриншоты >>
 


Обновление от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf



Обновление от 21 августа 2017:
Пост в Твиттере >>
Файлы: STUB.exe
Расширение: .Isis
Email: mifoudz19@gmail.com
BTC: 31zwsxv9xr2W6mnUdJTDNxhBch2gWUGuSx
Результаты анализов: HA+VT
<< Скриншот экрана блокировки





Обновление от 29 сентября 2017:
Название: Cyborg Builder Ransomware Sc- (Cyber SpLiTTer)
Видеообзор крипто-строителя >>

Обновление от 19 марта 2018:
Пост в Твиттере >>
Private Builder Ransomware v2.01 
🎥 Видеообзор >>
Расширение: .Isis
Записка: @-Decrypt-@.txt
Файл: Process_Hacker3.exe
Результаты анализов: HA + VT
Скриншоты записок >>






Read to links:
Tweet on Twitter
Write-up on BC
*
*
 Thanks:
Karsten Hahn by GData
Lawrence Abrams
Michael Gillespie
GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton