четверг, 15 декабря 2016 г.

Cryptorium

Cryptorium Ransomware 

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем предлагает купить ключ, чтобы вернуть файлы. Название оригинальное, кроме того, позиционируется еще как VirtualUIPro Exlusive. Разработчик: Vegard. 

© Генеалогия: выясняется.

На самом деле вымогатель не шифрует файлы, а только переименовывает, но затем, чтобы запутать жертву, добавляет к ним расширение .ENC

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 
Cryptorium Ransomware фейк-шифровальщик

Содержание записки о выкупе:
CRYPTORIUM
Oh no, you had bad luck today. All your files are encrypted!
But! I have not deleted them yet! Purchase a "GBO KEY" to decrypt your files. 
If not all encrypted files will be permanently deleted within 32h and then there is no way to recover them!
Be quick or no files!
*All servers are down at the moment! 
You will have to find it out! 
Oh and the gbo keys are all generated randomly! >:]
"DECRYPT WITH CODE"

Перевод записки на русский язык (грамота сохранена):
CRYPTORIUM
О, нет, вам не повезло сегодня. Все ваши файлы зашифрованы!
Но! Я их еще не удалил! Купите "GBO KEY" для расшифровки файлов.
Если не все зашифрованные файлы будут навсегда удалены в пределах 32 часов и тогда нет никакого способа, чтобы восстановить их!
Будь быстрым или нет файлов!
* Все серверы вниз в данный момент!
Вам придется найти его!
Ох и ключи GBO KEY все генерируются случайным образом! >:]
"DECRYPT WITH CODE"

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся переименованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
VirtualUIPro.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *