Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 11 декабря 2016 г.

M4N1F3STO

M4N1F3STO Ransomware 

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, указано на экране. На данный момент ничего не шифрует и не удаляет, только запугивает и выманивает деньги. 

© Генеалогия: M4N1F3STO ⟺ CIA Special Agent 767

Активность этого вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана.
Содержание текста о выкупе:
I want to play a game with you. Let me explain the rules.
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access therm.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files, 
the second day a few hundred, the third day a few thousand, and so on. 
If you turn off your computer or try to close me, when i start the next time
you will het 1000 files deleted as punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!
Send 0.3 bitcoins to this adress to unlock your Pc with your email adress
Your can purchase bitcoins from localbitcoins

Перевод записки на русский язык:
Я хочу сыграть в игру с вами. Позвольте мне объяснить правила.
Ваши личные файлы удаляются. Ваши фотографии, видео, документы и т.д...
Но, не волнуйтесь! Это произойдет, только если вы не согласитесь.
Тем не менее, я уже зашифровал ваши личные файлы, и вы не получите доступ к ним.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда,
чтобы вы не имели возможность получить доступ к ним.
Вы знакомы с понятием экспоненциального роста? Позвольте мне помочь вам.
Он начинается медленно, но быстро увеличивается.
В течение первых 24 часа вы потеряете только несколько файлов,
второй день несколько сотен, на третий день несколько тысяч, и так далее.
Если выключить компьютер или попытаться закрыть меня, когда я начинаю в следующий раз
Вы лишитесь 1000 файлов, удаленных в качестве наказания.
Да, вы хотите, чтобы я начал в следующий раз, так как я единственный,
способен расшифровать ваши персональные данные для вас.
Теперь, давайте начнем наслаждаться нашей маленькой игрой вместе!
Отправь 0.3 биткоинов на этом адрес, чтобы разблокировать ПК, с адресом email
Вы можете приобрести биткоины в localbitcoins

Если жертва поторопится и переведет указанную сумму на биткоин-кошелек вымогателя, то получит следующее сообщение:

Содержание сообщения:
JUST DELETE IT TO REMOVE IT
HAHA YOU HAVE BEEN FOOLED

Перевод на русский язык:
Просто удалите его для удаления
Ха-ха вы были обмануты

Код разблокировки: нецензурен, чтобы его писать здесь. См. изображение. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Типы файлов, подвергающихся удалению:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
WindowsApplication1.exe
Receipt.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 20 декабря 2016:
Обнаружена дорабатываемая версия этого вымогателя. Ссылка на твит
Добавлен функционал шифрования и требования выкупа с оплатой за ключ дешифрования. 
Этот опыт пока неудачный. Подписывается как Jhon Woddy, Microsoft. 
Windows Update
Please do not restart or shutdown your pc during this operation.
Your system32 will be damaged, and this will brick you pc.
Thank You!
Jhon Woddy, Microsoft
Скриншоты прилагаются. 
 



 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *
 Thanks: 
 Jiri Kropac
 BleepingComputer
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *