среда, 28 декабря 2016 г.

KillDisk

KillDisk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 222 биткоина (более $200000) в обмен на ключ дешифрования. Каждый файл шифруется со своим собственным AES-ключом, а затем AES-ключ шифруется с помощью открытого ключа RSA-1028. Название оригинальное. Разработка: TeleBots (Sandworm). Фальш-имя: Update center, Microsoft Update center.

Для связи с операторами используется протокол Telegram. Пострадавший должен связаться с TeleBots по email, заплатить выкуп и получить закрытый RSA-ключ для расшифровки файлов. Компонент KillDisk Malware используется для операций с файлами, чтобы повредить загрузку системы. 

© Генеалогия: KillDisk Malware + encryption > KillDisk Ransomware.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на ноябрь-декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок с надписью, встающий обоями рабочего стола. 

Содержание записки о выкупе:
We are so sorry, but the encryption of your data has been successfully completed, so you can lose your data or pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Перевод записки на русский язык:
Нам очень жаль, но шифрование ваших данных было успешно завершено, так что вы можете потерять свои данные или заплатить 222 BTC на 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF с blockchain.info
Контактный email-адрес: vuyrk568gou@lelantos.org

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (под видом документов MS Office), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
pay.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
vuyrk568gou@lelantos.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>


Этот шифровальщик-вымогатель главным образом ориентирован на промышленные предприятия. До этого модифицированный KillDisk Malware, еще без функционала шифрования, был замечен в атаках на украинские банки. Модифицированный вредонос использовал Windows GDI (Graphics Device Interface) и рисовал как визитную карточку картинку из Mr. Robot TV, используемую хакерской группой FSociety, а также известную нашим читателям-старожилам по ряду других Ransomware, описанных в этом блоге. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up
 Write-up
 *
 *
 Thanks: 
 Phil Neray (CyberX)
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton