среда, 9 ноября 2016 г.

iRansom

iRansom Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,15 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Locked

Образцы этого криптовымогателя были найдены в ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его как угодно.

Запиской с требованием выкупа выступает блокировщик экрана, текстового файла нет.

Содержание записки о выкупе:
Your files have been locked by iRansom!
1 total files have been encrypted using the strongest encryption. And a unique key, generated for this computer.
The private key to unlock your files is stored on a hidden Internet database, and nothing can decrypt your files until you pay and obtain the private key.
Your private key will be destroyed in: 47:59:57
To unlock your precious files, you must pay a [0.15] bitcoin fee (90$) to the address below!
Wallet ID: 18Md4ne***
Dont know how to get bitcoin or set up a wallet?
https://support.coinbase.com/
Sent the Transaction? Email us with your BTC wallet ID: GALAXYHIREN@SIGAINT.ORG

Перевод записки на русский язык:
Ваши файлы были заблокированы iRansom!
1 всего файл был зашифрован с помощью стойкого шифрования. И уникальный ключ генерирован для этого компьютера.
Секретный ключ для разблокировки файлов хранится на тайной базе данных в Интернете и ничто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ.
Ваш секретный ключ будет уничтожен через: 47:59:57
Чтобы разблокировать ваши драгоценные файлы, вы должны заплатить [0,15] Bitcoin (90 $) по указанному ниже адресу!
Кошелек ID: 18Md4ne ***
Не знаю, как получить Bitcoin или создать кошелек?
https://support.coinbase.com/
Провели транзакцию? Пишите нам ваш BTC кошелек ID на: GALAXYHIREN@SIGAINT.ORG

В тестовой системе был зашифрован всего один файл. В реальном случае файлов, конечно же, будет намного больше. 

Распространяется разработчиком с целью рекламы своего продукта, который он может сделать персонализированным, выполнив, так сказать, версию на заказ. 

Специалисты говорят о низком качестве кода этого криптовымогателя. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы всех пользователей ПК, находящиеся на рабочих столах этих пользователей. 

Файлы, связанные с iRansom Ransomware:
iRansom.exe
iRansom_2_.exe

Записи реестра, связанные с iRansom Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as iRansom)
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *