суббота, 21 января 2017 г.

CloudSword

CloudSword Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Windows Update. Вероятно, пока еще в разработке. 

© Генеалогия: Hidden Tear >> CloudSword 

К зашифрованным файлам добавляется расширение .***

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Warning警告.html

Содержание записки о выкупе на английском:
Warning
Because you violated Digital Millennium Copyright Act, all your important files have been locked
You must pay "+Network.amount+" bitcoin to the address below within five days, otherwise your unlock key will be lost forever
Network.getAddress()
To unlocked your files and find instructions, go to
***dw2dzfkwejxaskxr.onion.to/chk/""
If you are using Tor, go to
If you don't know how to get bitcoins, go to
***renrenbit.com ***coinbase.com
Or email "+Network.email+"
Do not try decrypt yourself or use other tools
Here lists all encrypted files:
REMINDER: You have only FIVE days to make full payment

Перевод записки на русский язык:
Предупреждение
Так как вы нарушили "Закон об авторском праве", все ваши важные файлы заблокированы
Вы должны заплатить "+ Network.amount +" bitcoin по адресу ниже за пять дней, или ваш ключ разблокировки пропадёт
Network.getAddress ()
Чтобы разблокировать ваши файлы и найти инструкции, идите
***dw2dzfkwejxaskxr.onion.to/chk/""
Если используете Tor, идите
Если не знаете, как получить Bitcoins, идите
***renrenbit.com ***coinbase.com
Или по email "+ Network.email +"
Не пытайтесь сами дешифровать или другими тулзами
Здесь перечислены все зашифрованные файлы:
НАПОМИНАНИЕ: У вас лишь 5 дней для полной оплаты

Не проявляет активности и пытается спать в течение длительного времени (от 2 до 5 минут). Имитирует фальшивый процесс Windows Update.exe. 
Проверяет наличие в системе антивирусных программ, например, 360 Internet Security, Kaspersky. Пытается завершить работу файервола или вызвать сбой в его работе. 

Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
 bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для нормальной отработке в системе вымогателя требуется наличие в системе .NET Framework 4.5. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arch00, .bson, .d3dbsp, .DayZProfile, .dbfv, .divx, .docx, .epub, .forge, .hkdb, .hplg, .html, .ibank, .java, .jpeg, .layout, .mcgame, .mdbackup, .menu, .mpeg, .mpqge, .mrwref, .pptm, .rofl, .sc2save, .sqlite, .syncdb, .text, .unity3d, .vfs0, .wotreplay, .xlsb, .xlsx, .ztmp (35 расширений). 

Это документы MS Office, текстовые и веб-файлы, базы данных, фотографии, видео, файлы сохранений и пр.

Файлы, связанные с этим Ransomware:
cloudsword.exe
<random>.exe

<random>.pdf.exe

%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (only this article)
 Thanks: 
 BleepingComputer
 myself
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *