Anubis Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин (иногда 2,5-3 биткоина), чтобы вернуть файлы. На уплату выкуда даётся 48 часов. Название получил от изображения древнеегипетского божества Анубиса. Изображение загружается на компьютер с сайта вымогателей.
К зашифрованным файлам добавляется расширение .coded. Активность этого криптовымогателя пришлась на октябрь 2016 г.
© Генеалогия: EDA2 >> Anubis
Записки с требованием выкупа называются: Decryption Instructions.txt.
Содержание записки о выкупе:
IMPORTANT INFORMATION!
Your Computer ID: ***** <- Remember it and send to my email.
All your files are encrypted strongly.!
- How to open my file?
- You need Original KEY and Decrypt Program
- Where can i get?
- Email to me: support.code@aol.com or support.code@india.com
(Open file Decryption Instructions on your Desktop and send your SID)
Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Твой компьютер ID: ***** <- Запомни его и пришли на мой email.
Все твои файлы зашифрованы.!
- Как открыть мой файл?
- Тебе нужен оригинальный ключ и программа дешифрования
- Где я могу получить?
- Email мне: support.code@aol.com или support.code@india.com
(Открой файл "Decryption Instructions" на твоем рабочем столе и отправь твой SID)
Email вымогателей:
support.code@aol.com
support.code@india.com
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .exe, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .lnk, .log, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (149 расширений).
При сравнении содержания сообщениий, полученных по email, можно заметить общие черты с сообщениями, присланными "gold man" (создатель CrySiS Ransomware), таким образом за Anubis Ransomware может стоять та же группа.
Файлы, связанные с Anubis Ransomware:
C:\Users\User_name\ransom.jpg
%UserProfile%\Desktop\Decryption Instructions.txt
Anubis.exe
Записи реестра, связанные с Anubis Ransomware:
***
Сетевые подключения:
190.14.37.177/rs/createkeys.php
190.14.37.177/rs/supp2.jpg
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: ID Ransomware Tweet on Twitter Malware Analysis (add. on October 22, 2016)
Thanks: Michael Gillespie Mosh on Nyxbone
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.