пятница, 2 сентября 2016 г.

Flyper

Flyper Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .flyper

Название происходит от расширения, добавляемого к файлам или от логина в email вымогателей. 

С новой версией от 8 сентября появилось новое расширение .locked, т.е. как в базовом проекте HiddenTear. 

© Генеалогия: Hidden Tear >> Flyper

Записка с требованием выкупа называется instruction.txt и добавляется в каждую папку с зашифрованными файлами. 
Есть также html-файл instruction.html с аналогичным содержанием. 

Кроме записок о выкупе имеется ещё скринлок, встающий обоями рабочего стола, на котором имеется надпись YOU HAVE BEEN HACKED !

Содержание записки о выкупе:
Your personal files have been encrypted with strongest encryption RSA 2048 and unique key generated for this computer.
We present a decrypter software which allows to decrypt and return control to all your encrypted files.
We accept a payment with Bitcoin, there are many methods to get them.
On these sites you can buy Bitcoin
localbitcoin.com cex.io btcdirect.eu
To get KEY and Decrypter Program :
1) Send 0.5 BTC bitcoins to this address with Description your PC Computer Name
Bitcoin Address 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Contact me by email to get your key 
flyper01@sigaint.org

Перевод записки на русский язык (оригинальный стиль сохранён):
Твои личные файлы были зашифрованы с сильным шифрованием RSA 2048 и уникальным ключом, сгенерированным для этого компьютера.
Мы презентуем программу Decrypter, которая дешифрует и вернёт контроль над всеми твоими зашифрованными файлами.
Мы принимаем оплату в Bitcoin, есть много методов для их получения.
На этих сайтах ты можешь купить Bitcoin
localbitcoin.com cex.io btcdirect.eu
Для получения ключа и программы Decrypter:
1) Отправь 0,5 BTC по этому адресу с описанием твоего PC компьютерного имени
Bitcoin-адрес 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Свяжись со мной по email для получения ключа
flyper01@sigaint.org

Распространяется с помощью email-спама и вредоносных вложений.

Шифрованию в обязательном порядке подвержены папки пользователей: Документы, Загрузки, Изображения, Музыка, Видео.

Список файловых расширений, подвергающихся шифрованию:
 .3ds, .3gp, .7z, .asf, .asp, .aspx, .avi, .bak, .bat,.bmp, .cmd, .crt, .csr, .csv, .db, .dbf, .dct, .doc,.docm, .docx, .dot, .dotm, .dotx, .dwg, .fla, .flv, .gif, .gz, .html, .jpeg, .jpg,.key, .m3u, .m4u, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpeg,.mpg, .odb, .odp, .odt,.otp, .ott, .p12, .pdf, .pem, .php, .png,.png, .pot,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .psd,.rar, .rtf, .sh, .slk, .sln, .sql,.std, .sti, .stw, .swf, .sxd, .sxi,.sxw, .tar, .tbk, .tgz, .tif, .tiff,.txt, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .vstx, .vsx , .vtx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (108 расширений). Из списка было удалено 9 повторов. 

Файлы, связанные с Ransomware:
instruction.txt
instruction.html
Старый PDB: C:\Users\User_name\Desktop\hidden-tear\hidden-tear\obj\Debug\invoice.pdb
Новый PDB: C:\Users\User_name\Desktop\Invoice\HiDdEn-TeAr\obj\Debug\invoice.pdb

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 26 ноября 2016:
Расширение: .flyper
Записка: Read_Me.txt
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются.


https://twitter.com/malwrhunterteam/status/773771485643149312
https://id-ransomware.malwarehunterteam.com/
http://www.bleepingcomputer.com/forums/t/626330/kawaiilocker-ransomware-help-support-how-decrypt-filestxt/
 Thanks:
 MalwareHunterTeam
 Michael Gillespie (Demonslay335)

 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton