суббота, 10 декабря 2016 г.

UltraLocker

UltraLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $1000 в биткоинах, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt.

© Генеалогия: CryptoWire > UltraLocker

К зашифрованным файлам добавляется расширение .locked, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.locked.original_file_extension. 
Таким образом файл Important.docx станет Important.locked.docx

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "UltraLocker". 

Содержание текста о выкупе с экрана блокировки:
All your files have been encrypted contact wambeng.watson@gmail.com for decryption key after payment to the provided address has been done.
***
The only way you can recover your files is to buy decryption key by paying to this address: 1JP78***** the sum of money requested. 
The payment method is: Bitcoins. The price is $1000 = Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод текста на русский язык:
Все файлы были зашифрованы, контакт wambeng.watson@gmail.com для ключа дешифрования по указанному адресу только после сделанной оплаты.
***
Одним способом вы можете восстановить файлы, это купить ключ дешифрования, заплатив по этому адресу: 1JP78 ***** запрошенную сумму.
Способ оплаты: Bitcoins. Цена $1000 = Bitcoins
Нажмите на кнопку "Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае с документом Quotation200809.doc), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 
Использованное вложение Quotation200809.doc

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Quotation200809.doc
Quotation1.exe
Art work sample.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
wambeng.watson@gmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - 3 марта 2017
Обновление CryptoWire - 5 апреля 2017
Обновление CryptoWire - 12 апреля 2017
Обновления CryptoWire позже не добавлялись
KingOuroboros - июнь 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton