четверг, 8 декабря 2016 г.

FLKR

FLKR Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы блоками по 512 байт с помощью Blowfish, а затем требует связаться по email или jabber, для получения инструкций по расшифровке. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение _morf56@meta.ua_
Оригинальные имена и расширения не изменяются. 

Активность этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INSTRUCT.txt

Содержание записки о выкупе:
Information is encrypted with a strong password. 
To decrypt it e-mail: morf56@meta.ua for instructions. 
Reserve communication channel - this jabber: fhmjfjf@default.rs 
Use jabber only when conversation via email is not possible

Перевод записки на русский язык:
Информация зашифрована с сильным паролем.
Для расшифровки e-mail: morf56@meta.ua для инструкций.
Резервный канал связи - это jabber: fhmjfjf@default.rs
Используй jabber только если связь по email невозможна

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.: .dat, .dll, .doc, .docx, .exe, .pdf, .xls, .xlsx и многие другие.

При шифровании пропускаются файлы в папках: 
Windows, Program files, Program files (x86)
System volume information
Documents and settings, Users
Install, Music, Intel, adfs, cpqsystem

Также пропускаются файлы следующих типов: 
.txt, .mp3, .avi

Файлы, связанные с этим Ransomware:
flkr.exe - основной исполняемый файл
C:\cpqsystem\rel1711\flkr.exe
C:\cpqsystem\rel1711\delmeflk.bat
C:\cpqsystem\rel1711\delmelaun.bat
C:\cpqsystem\rel1711\launcher.exe
INSTRUCT.txt
<random>.bat
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: morf56@meta.ua
jabber: fhmjfjf@default.rs

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов создан декриптер

 Read to links: 
 Topic on VI +  Topic on VI
 Tweet on Twitter
 ID Ransomware (ID as FLKR)
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *