Venis, AsIoIns

Venis Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-2048, а затем требует связаться по почте с вымогателями для получения инструкций по оплате, чтобы вернуть файлы. Название, выводящееся на экране перед жертвой: Venis и VenisRansomware. Скрытое оригинальное название: AsIoIns.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
All your files has been encrypted with AES 2048. (Military Grade Encryption)
The key has been sent to our private server which we have access to.
There are no tools online that will allow you to decode your files for free.
The following info has been gathered about this PC.
Usernames
Chrome Passwords/Firefox Passwords
Facebook Messages
Skype History (Deleted and non deleted)
Browser History
Tor History
You have 72 Hours To Comply. (Each delay will cause a price increase)
Drives are completly wiped after this time period is finished while the info is released for the public. (Nothing is spared)
TO DECODE
Send us a message at: (Email)
VenisRansom@protonmail.com

Перевод записки на русский язык:
Все ваши файлы были зашифрованы с AES 2048. (Военного класса шифрование)
Ключ был отправлен на наш частный сервер, на него мы имеем доступ.
Нет инструментов онлайн, что помогут вам дешифровать ваши файлы бесплатно.
Следующая информация была собрана об этом компьютере.
Имена пользователей
Пароли Chrome / Пароли Firefox
Сообщения в Facebook 
История Skype (удаленная и неудаленнная)
История браузера
История Tor
У вас есть 72 часа, чтобы выполнить. (Задержка приведет к росту цен)
Диски будут стерты по окончании этого времени, а информация будет выложена на публику. (Без сожаления)
ДЛЯ ДЕШИФРОВКИ
Пошли нам сообщение на email
VenisRansom@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений (в том числе DOC, DOCX и PDF-файлов), фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Примечательно, что Venis загружает различные модули для других целей, которые появляются по событию использования пользователем тех или иных приложений и онлайн-сервисов, таких как включение удаленного рабочего стола, хищение паролей и, возможно, распространение вымогателей через Facebook. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bak, .bmp, .csv, .dbf, .djvu, .doc, .docx, .exe, .flv, .gif, .jpeg, .jpg, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .rar, .raw, .tar, .tif, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsb, .xlsx, .zip (41 расширение). 

Email вымогателей: 
VenisRansom@protonmail.com

Файлы, связанные с Venis Ransomware:
AsIoIns.EXE
onvwfy.exe
JavaUpdate.exe
RDPWInst.exe
Sqlite3.BIN
rdpclip.exe
rdpwrap.dll
rdpwrap.ini
RUN.bat
samr
см. также в гибридном анализе и на http://pastebin.com/HuK99Xmj

Записи реестра, связанные с Venis Ransomware:
см. в гибридном анализе

Сетевые подключения:
www.venis.pw
cdn.che.moe
185.116.213.86:80 (контакт с сервером в Великобритании)

Связанные адреса:
facebook.com
www.google.com
m.facebook.com/friends/center/friends/?ppk=%d
m.facebook.com/messages/thread/%s
m.facebook.com/profile.php?v=friends

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter + Pastebin
Writeup on BC + ID Ransomware

 Thanks: 
 Antelox
 Lawrence Abrams
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.