AngryDuck Ransomware
Этот крипто-вымогатель шифрует данные пользователей якобы с помощью AES-512, а затем требует выкуп в 10 биткоинов (это ~$7300), чтобы вернуть файлы. Название получил от заголовка фразы в тексте о выкупе.
© Генеалогия: выясняется
К зашифрованным файлам добавляется расширение .adk. Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.
Текстовой записки с требованием выкупа нет.
Скринлок, встающий обоями рабочего стола, состоит из фото сердитой утки и четырежды повторенной записки о выкупе.
Содержание текста о выкупе:
ANGRY DUCK!
All your important files have been encrypted using very string cryptography (AES-512 With RSA-64 FIPS grade encryption).
To recover your files, send 10 BTC to my private wallet
DON'T MESS WITH THE DUCKS!!!
Перевод текста на русский язык:
УТКИ СЕРДИТЫ!
Все твои важные файлы зашифрованы очень сильной криптографией (AES-512 с RSA-64 FIPS-класса шифрования).
Для возврата файлов пошли 10 BTC на мой бумажник
НЕ СВЯЗЫВАЙСЯ С УТКАМИ!!!
Примечательно, что текст содержит не только лексические ошибки (слово string вместо strong), но также ошибки в названии алгоритмов шифрования — AES-512 ещё не используется, а RSA-64 может быть легко взломан.
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .avi, .bmp, .csv, .djvu, .doc, .docm, .docx, .epub, .flv, .gif, .ibooks, .jpeg, .jpg, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .pdf, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .rtf, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps
(40 расширений).
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
***
Степень распространённости: низкая или единичные случаи.
Подробные сведения собираются.
Read to links: ID Ransomware Tweet on Twitter
Thanks: Michael Gillespie
© Amigo-A (Andrew Ivanov): All blog articles.