понедельник, 19 сентября 2016 г.

FenixLocker, Centrum

FenixLocker Ransomware 

FenixLocker 2.0 Ransomware 

Centrum Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum. 

К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".

Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3c32b0fd0c560e1ebbdda0a185e06***

Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3c32b0fd0c560e1ebbdda0a185e06***

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP. 

Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла. 
Спасибо Фабиану Восару за эту подробность

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 14 декабря 2016
Пост в Твиттере >>
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Расширение: .thedon78@mail.com!!
Результаты анализов: VT, HA


Внимание!
Для зашифрованных файлов есть декриптер!
Скачать FenixLocker Decrypter >>

Чтобы запустить дешифрование просто перетащите один из зашифрованных файлов на исполняемый файл декриптера.


Decrypter for Fenixlocker
ID Ransomware (ID as FenixLocker, FenixLocker 2.0)
Topic on BC
 Thanks:
 Fabian Wosar
 Michael Gillespie
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *