понедельник, 21 ноября 2016 г.

VindowsLocker

VindowsLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить $349.99, чтобы вернуть файлы. Название оригинальное, указано в заголовке блокировщика экрана. Вымогатели, судя по картинке и тексту, из Индии, выдают себя за техподдержку Microsoft. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vindows

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Имитирует, хоть и грубо, некую техническую поддержку, принужная пострадавших заплатить за услугу разблокировки.  

Запиской с требованием выкупа выступает блокировщик экрана "VindowsLocker". 

Содержание текста о выкупе:
this not microsoft vindows support
we have locked your files with the zeus wirus 
do one thing and call level 5 microsoft support technician at 1-844-609-3192
you will files back for a one time charge of $349.99

Перевод текста на русский язык:
Это не Microsoft Windows поддержка
Мы блокировали твои файлы с Zeus-вирусом
Убедись и звони на 5 уровень microsoft support technician 1-844-609-3192
Ты можешь вернуть файлы потратив $349.99

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Файлы, связанные с этим Ransomware:
Vindows.exe
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Дополнение от Malwarebytes (от 28 ноября 2016)
VindowsLocker не имеет C&C-сервер для хранения ключей шифрования своих жертв. Он поставляется с двумя ключами API Pastebin (api_dev_key и api_user_key), которые использует, чтобы сохранить имя зараженного ПК и случайного ключа AES, используемого для блокировки файлов жертвы внутри страницы Pastebin. Но из-за допущенной ошибки вымогателям не удаётся получить ключи AES-шифрования и помочь жертвам разблокировать файлы после уплаты выкупа.
Когда жертва звонит по номеру "технической поддержки" операторы центра подключаются в удалённом сеансе. Они открывают официальную страницу поддержки Microsoft, а затем быстро вставляют сокращенный URL-адрес в адресную строку, который открывает форму (размещенную на JotForm).

Операторы вымогателей используют эту форму для сбора личных данных пользователя. Если пользователь не замечает это быстрое действие, то может поверить в то, что он всё ещё находится на сайте Microsoft и раскрыть свои личные данные. 

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптеры:
1) От Malwarebytes - скачать декриптер >>
Подробная инструкция на странице блога. 
2) От @TheWack0lian - скачать и запустить декриптер >>


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VindowsLocker)
* 
 *
Malwarebytes blog
Write-up on BC
 Thanks: 
 JakubKroustek 
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton