воскресенье, 6 ноября 2016 г.

FuckSociety

FuckSociety Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное.

Предыдущие вымогатели со схожим названием: FSociety, Fs0ciety Locker

© Генеалогия: Hidden Tear >> APT Ransomware + RemindMe > FuckSociety 

К зашифрованным файлам добавляется расширение .dll.
Имена файлов не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT_YOUR_FILES.HTML
Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
Society
All your files have been encrypted with Fuck Society Ransomware
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique ,strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt: 57002ca9-084a-47c3-9390-0e625389c2ae
FOR DECRYPT YOUR FILES , BUY YOUR UNIQUE DECRYPTION CONFIG:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
 In file you find link to decryptor , and link to decryption config file
Make your Bitcoin Wallet on:
blocl.io
coinbase.com
blockchain.info
YOU CAN BUY BITCOINS ON:
btc-e.nz
localbitcoins.com
AND OTHER EXCHANGE SITES.

Перевод записки на русский язык:
Общество
Все ваши файлы были зашифрованы с Fuck Society Ransomware
У вас есть 5 дней, чтобы заплатить или все ваши файлы будут удалены!
Для каждого файла уникальный, сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- Все ваши попытки восстановить файлы самому, приведут к потере возможности восстановления, и мы не будем помогать вам.
Ваш уникальный ID для дешифрования 57002ca9-084a-47c3-9390-0e625389c2ae
Для дешифрования файлов купите ваш уникальный config-файл дешифрования:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
В файле вы найдете ссылку на декриптор, а также ссылку на config-файл дешифрования
Создайте свой Bitcoin-кошелёк:
blocl.io
coinbase.com
blockchain.info
Вы можете купить Bitcoins на:
btc-e.nz
localbitcoins.com
И другие сайты обмена.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.accdb, .adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .cdr, .css, .csv, .dbf, .doc, .docx, .dwf, .dwg, .ecw, .eps, .frm, .html, .jpeg, .jpg, .js, .mdb, .msg, .odt, .pdf, .php, .pix, .png, .ppt, .pptx, .psd, .qbb, .qbo, .qbw, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .tif, .tlg, .txt, .xls, .xlsx, .xml (49 расширений). 

Примечательно, что этот список заимствован создателями вредоноса у другого крипто-вымогателя RemindMe, но был дополнен. 

Файлы, связанные с FuckSociety Ransomware:
DECRYPT_YOUR_FILES.HTML
FSociety.exe
report.exe

Записи реестра, связанные с FuckSociety Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

ИтогоЭтот вымогатель представляет собой Mix (смесь, мешанину) из разных составляющих, включенных в него из других крипто-вымогателей. Разумеется, это сделано с целью запутать исследователей и еще сильнее деморализовать пострадавших. 
FuckSociety Mix: 
FSociety - имя exe-файла от других с похожим названием FSociety;
Extension set - от RemindMe + 19 новых расширений;
FuckSociety расширение .dll + записка DECRYPT_YOUR_FILES.HTML

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as FuckSociety)
 Video review
 *
 Thanks: 
 Michael Gillespie
 CyberSecurity GrujaRS
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton