среда, 12 октября 2016 г.

Venis, AsIoIns

Venis Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-2048, а затем требует связаться по почте с вымогателями для получения инструкций по оплате, чтобы вернуть файлы. Название, выводящееся на экране перед жертвой: Venis и VenisRansomware. Скрытое оригинальное название: AsIoIns.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
All your files has been encrypted with AES 2048. (Military Grade Encryption)
The key has been sent to our private server which we have access to.
There are no tools online that will allow you to decode your files for free.
The following info has been gathered about this PC.
Usernames
Chrome Passwords/Firefox Passwords
Facebook Messages
Skype History (Deleted and non deleted)
Browser History
Tor History
You have 72 Hours To Comply. (Each delay will cause a price increase)
Drives are completly wiped after this time period is finished while the info is released for the public. (Nothing is spared)
TO DECODE
Send us a message at: (Email)
VenisRansom@protonmail.com

Перевод записки на русский язык:
Все ваши файлы были зашифрованы с AES 2048. (Военного класса шифрование)
Ключ был отправлен на наш частный сервер, на него мы имеем доступ.
Нет инструментов онлайн, что помогут вам дешифровать ваши файлы бесплатно.
Следующая информация была собрана об этом компьютере.
Имена пользователей
Пароли Chrome / Пароли Firefox
Сообщения в Facebook 
История Skype (удаленная и неудаленнная)
История браузера
История Tor
У вас есть 72 часа, чтобы выполнить. (Задержка приведет к росту цен)
Диски будут стерты по окончании этого времени, а информация будет выложена на публику. (Без сожаления)
ДЛЯ ДЕШИФРОВКИ
Пошли нам сообщение на email
VenisRansom@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений (в том числе DOC, DOCX и PDF-файлов), фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Примечательно, что Venis загружает различные модули для других целей, которые появляются по событию использования пользователем тех или иных приложений и онлайн-сервисов, таких как включение удаленного рабочего стола, хищение паролей и, возможно, распространение вымогателей через Facebook. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bak, .bmp, .csv, .dbf, .djvu, .doc, .docx, .exe, .flv, .gif, .jpeg, .jpg, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .rar, .raw, .tar, .tif, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsb, .xlsx, .zip (41 расширение). 

Email вымогателей: 
VenisRansom@protonmail.com

Файлы, связанные с Venis Ransomware:
AsIoIns.EXE
onvwfy.exe
JavaUpdate.exe
RDPWInst.exe
Sqlite3.BIN
rdpclip.exe
rdpwrap.dll
rdpwrap.ini
RUN.bat
samr
см. также в гибридном анализе и на http://pastebin.com/HuK99Xmj

Записи реестра, связанные с Venis Ransomware:
см. в гибридном анализе

Сетевые подключения:
www.venis.pw
cdn.che.moe
185.116.213.86:80 (контакт с сервером в Великобритании)

Связанные адреса:
facebook.com
www.google.com
m.facebook.com/friends/center/friends/?ppk=%d
m.facebook.com/messages/thread/%s
m.facebook.com/profile.php?v=friends

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter + Pastebin
Writeup on BC + ID Ransomware
 Thanks: 
 Antelox
 Lawrence Abrams
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton