Если вы не видите здесь изображений, то используйте VPN.

суббота, 24 декабря 2016 г.

Alphabet

Alphabet Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.0 биткоин, чтобы вернуть файлы. Оригинальное название: Alphabet. Среда разработки: Visual Studio 2015. Разработчик: NikiTos. Фальш-имя: Windows 10 Critical Update Service. Фальш-копирайт: Microsoft Corporation © 2016.

Обнаружения: 
DrWeb -> Trojan.Encoder.7468
BitDefender -> Generic.Ransom.Hiddentear.A.327B9D5E

© Генеалогия: Alphabet.

К зашифрованным файлам добавляется расширение .sv

Образец этого шифровальщика был найден в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Для успешной атаки на компьютере должен быть установлен .NET Framework 4.5.2. 

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Your computer has been struck by the Alphabet Ransomware. All your documents are encrypted with the strongest encryption algorithms.
There is no way to decrypt your files without purchasing a special decryption key and typing it here. To get the decryption key you should pay 1.0 BTC to the bitcoin address . 
If you won't pay after 5 hours, all the encrypted files will be permanently erased!
If you will kill this application, the decryption key will be destroyed aswell and NO ONE will be able to decrypt your files.
Decryption code: ***
button 'Decrypt'
Your files were encrypted on: 13:55:39

Перевод текста на русский язык:
Ваш компьютер был поражен Alphabet Ransomware. Все ваши документы зашифрованы с сильнейшим алгоритмом шифрования.
Нет никакого способа расшифровать файлы без покупки специального ключа дешифрования и ввода его здесь. Чтобы получить ключ дешифрования вы должны оплатить 1.0 BTC на биткоин-адрес ***
Если вы не заплатите через 5 часов, все зашифрованные файлы будут безвозвратно удалены!
Если вы будете убивать это приложение, ключ дешифрования будет также уничтожен и никто не сможет расшифровать ваши файлы.
Код дешифрования: ***
Кнопка 'Decrypt'
Ваши файлы были зашифрованы на: 13:55:39

Как оказалось, шифровальщик прикидывается файлом обновления Windows, потому демонстрирует пострадавшей стороне фальшивый экран установки критических обновлений Windows 10, а потом уже показывает экран с требованиями выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Alphabet.exe
<ransom>.exe
Alphabet.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17T3wKnZByNR2uofqq5mdHY4bSUB2S4E3t
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 Thanks: 
 MalwareHunterTeam
 JaromirHorejsi
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *