среда, 30 ноября 2016 г.

RIP, Phoenix

RIP (Phoenix) Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название оригинальное или от используемого расширения. Разработка: Berisha. В url-адресе указана директория "phoenix_ran", что позволило предположить, что этот вымогательский проект может называться Phoenix. 

© Генеалогия: HiddenTear >> RIP (Phoenix)

К зашифрованным файлам добавляется расширение .R.i.P

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Important!.txt



Содержание записки о выкупе:
All your files has been encrypted with a Strong AES-256 ciphers
Send 0.2 BTC to this address: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Once you make your payment send a message in this email address: dj.elton@hotmail.co.uk

Перевод записки на русский язык:
Все твои файлы были зашифрованы сильным AES-256 шифром
Пришли 0,2 BTC на адрес: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Как сделаешь свой платеж, пришли сообщение на этот email-адрес: dj.elton@hotmail.co.uk

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .cs, .csproj, .csv, .doc, .docx, .html, .inf, .jpg, .k2p, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .vb, .vbproj, .xls, .xlsx, .xml  (26 расширений)
Это документы MS Office, базы данных, изображения, фотографии и пр.

Файлы, связанные с этим Ransomware:
 Important!.txt
hidden-tear.exe
<random>.exe
Windows 10 Free Update.exe 

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
хттп://www.elb-hosting.esy.es/phoenix_ran/write.php?info= (сайт, C2)
Email: dj.elton@hotmail.co.uk

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up (n/a)
 *
 *
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *