суббота, 10 декабря 2016 г.

UltraLocker

UltraLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $1000 в биткоинах, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt.

© Генеалогия: CryptoWire > UltraLocker

К зашифрованным файлам добавляется расширение .locked, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.locked.original_file_extension. 
Таким образом файл Important.docx станет Important.locked.docx

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "UltraLocker". 

Содержание текста о выкупе с экрана блокировки:
All your files have been encrypted contact wambeng.watson@gmail.com for decryption key after payment to the provided address has been done.
***
The only way you can recover your files is to buy decryption key by paying to this address: 1JP78***** the sum of money requested. 
The payment method is: Bitcoins. The price is $1000 = Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод текста на русский язык:
Все файлы были зашифрованы, контакт wambeng.watson@gmail.com для ключа дешифрования по указанному адресу только после сделанной оплаты.
***
Одним способом вы можете восстановить файлы, это купить ключ дешифрования, заплатив по этому адресу: 1JP78 ***** запрошенную сумму.
Способ оплаты: Bitcoins. Цена $1000 = Bitcoins
Нажмите на кнопку "Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае с документом Quotation200809.doc), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 
Использованное вложение Quotation200809.doc

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Quotation200809.doc
Quotation1.exe
Art work sample.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
wambeng.watson@gmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *