понедельник, 26 сентября 2016 г.

Nagini, Voldemort

Nagini  Ransomware 

Voldemort Ransomware


  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует ввести номер кредитной карты, чтобы оплатить выкуп. 

Название получил от от Nagini — названия огромной ядовитой змеи, принадлежащей Волдеморту, который сам изображен на экране блокировки. 

К зашифрованным файлам добавляется расширение ???.

Записки с требованием выкупа нет. Если запустить установочный файл вымогателя, то открывается блокировщик экрана с кнопкам управления.

Содержание надписей на кнопках:
Done encrypting!
Enter your credit card:
Get key!
Enter your key to decrypt the files:
Decrypt Now!

Перевод записки на русский язык:
Зашифровано!
Введи свою кредитную карту:
Получи ключ!
Введи ключ для дешифровки файлов:
Дешифровать!

Вымогатель пока находится в стадии разработки и не финализирован. По некоторым признакам можно заключить, что финальная версия может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .exe, .jpeg, .jpg, .pdf, .png, .ppt, .pptx, .xls, .xlsx

Файлы, связанные с этим Ransomware: 
c:\Temp\voldemort.horcrux
%UserProfile%\1.exe
%UserProfile%\Nagini.exe

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Voldemort" = "[path_to]\Nagini.exe"

Гибиридный анализ на Payload Security >>
Детекты с него на VirusTotal >>


Степень распространённости: единичные случаи.
Подробные сведения собираются.

  Read to links:
 https://www.youtube.com/watch?v=dLLcc4oQDtI
 http://www.bleepingcomputer.com/news/security/the-nagini-ransomware-sics-voldemort-on-your-files/



  Thanks:
  CyberSecurity GrujaRS
 Michael Gillespie (Demonslay335)
 Lawrence Abrams (Grinler)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *