суббота, 24 декабря 2016 г.

Alphabet

Alphabet Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1.0 биткоин, чтобы вернуть файлы. Название оригинальное. Среда разработки: Visual Studio 2015. Разработчик: NikiTos. Фальш-имя: Windows 10 Critical Update Service.

© Генеалогия: Alphabet.

К зашифрованным файлам добавляется расширение ***

Образец этого криптовымогателя был найден в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Для успешной атаки на компьютере должен быть установлен .NET Framework 4.5.2. 

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Your computer has been struck by the Alphabet Ransomware. All your documents are encrypted with the strongest encryption algorithms.
There is no way to decrypt your files without purchasing a special decryption key and typing it here. To get the decryption key you should pay 1.0 BTC to the bitcoin address 17T3wKnZByNR2uofqq5mdHY4bSUB2S4E3t. 
If you won't pay after 5 hours, all the encrypted files will be permanently erased!
If you will kill this application, the decryption key will be destroyed aswell and NO ONE will be able to decrypt your files.
Decryption code: ***
button 'Decrypt'
Your files were encrypted on: 13:55:39

Перевод текста на русский язык:
Ваш компьютер был поражен Alphabet Ransomware. Все ваши документы зашифрованы с сильнейшим алгоритмом шифрования.
Нет никакого способа расшифровать файлы без покупки специального ключа дешифрования и ввода его здесь. Чтобы получить ключ дешифрования вы должны оплатить 1.0 BTC на биткоин-адрес ***
Если вы не заплатите через 5 часов, все зашифрованные файлы будут безвозвратно удалены!
Если вы будете убивать это приложение, ключ дешифрования будет также уничтожен и никто не сможет расшифровать ваши файлы.
Код дешифрования: ***
Кнопка 'Decrypt'
Ваши файлы были зашифрованы на: 13:55:39

Как оказалось, шифровальщик прикидывается файлом обновления Windows, потому демонстрирует пострадавшей стороне фальшивый экран установки критических обновлений Windows 10, а потом уже показывает экран с требованиями выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Alphabet.exe
<ransom>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 JaromirHorejsi
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *