понедельник, 21 ноября 2016 г.

VindowsLocker

VindowsLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить $349.99, чтобы вернуть файлы. Название оригинальное, указано в заголовке блокировщика экрана. Вымогатели, судя по картинке и тексту, из Индии, выдают себя за техподдержку Microsoft. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vindows

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Имитирует, хоть и грубо, некую техническую поддержку, принужная пострадавших заплатить за услугу разблокировки.  

Запиской с требованием выкупа выступает блокировщик экрана "VindowsLocker". 

Содержание текста о выкупе:
this not microsoft vindows support
we have locked your files with the zeus wirus 
do one thing and call level 5 microsoft support technician at 1-844-609-3192
you will files back for a one time charge of $349.99

Перевод текста на русский язык:
Это не Microsoft Windows поддержка
Мы блокировали твои файлы с Zeus-вирусом
Убедись и звони на 5 уровень microsoft support technician 1-844-609-3192
Ты можешь вернуть файлы потратив $349.99

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Файлы, связанные с этим Ransomware:
Vindows.exe
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Дополнение от Malwarebytes (от 28 ноября 2016)
VindowsLocker не имеет C&C-сервер для хранения ключей шифрования своих жертв. Он поставляется с двумя ключами API Pastebin (api_dev_key и api_user_key), которые использует, чтобы сохранить имя зараженного ПК и случайного ключа AES, используемого для блокировки файлов жертвы внутри страницы Pastebin. Но из-за допущенной ошибки вымогателям не удаётся получить ключи AES-шифрования и помочь жертвам разблокировать файлы после уплаты выкупа.
Когда жертва звонит по номеру "технической поддержки" операторы центра подключаются в удалённом сеансе. Они открывают официальную страницу поддержки Microsoft, а затем быстро вставляют сокращенный URL-адрес в адресную строку, который открывает форму (размещенную на JotForm).

Операторы вымогателей используют эту форму для сбора личных данных пользователя. Если пользователь не замечает это быстрое действие, то может поверить в то, что он всё ещё находится на сайте Microsoft и раскрыть свои личные данные. 

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптеры:
1) От Malwarebytes - скачать декриптер >>
Подробная инструкция на странице блога. 
2) От @TheWack0lian - скачать и запустить декриптер >>


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VindowsLocker)
* 
 *
Malwarebytes blog
Write-up on BC
 Thanks: 
 JakubKroustek 
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *