суббота, 7 января 2017 г.

Evil

Evil Ransomware

File0Locked KZ Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email и прислать UID, чтобы вернуть файлы. Название оригинальное, указано в записке, а по PDB-файлу название - AESCrypt. Второе название в заголовке статьи дано по использованному расширению и домену KZ (Казахстан). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .file0locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML

Содержание записки о выкупе:
Hello. 
Your UID: 3DF586F6
Its evil ransomware. As you can see some of your files have been encrypted!
Encryption was made using a unique strongest AES key.
If you want restore your files you need to BUY (sorry, nothing personal, its just business) the private key, send me your UID to r6789986@mail.kz 

Перевод записки на русский язык:
Привет.
Ваш UID: 3DF586F6
Это evil ransomware. Как вы могли заметить ваши файлы зашифрованы!
Шифрование сделано с помощью уникального сильнейший AES ключа.
Если хотите восстановить файлы вам нужно купить (извините, ничего личного, это только бизнес) частный ключ, пришлите мне ваш UID на r6789986@mail.kz

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в данном случае это JavaScript-файл), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед шифрование проверяет наличие в системе отладчиков и работу на виртуалке. 

Удаляет все файлы с расширениями .exe и .jse из директорий: 
%Temp%
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .certs, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .dwg, .dxf, .dxg, .eps, .erf, .img, .indd, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .psd, .pst, .ptx, .pub, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls (65 расширений). 

В коде было указано некое некорректное расширение: img_.jpg, которое я разделил на .img и .jpg.

Это некоторые документы MS Office, OpenOffice, RTF, текстовые файлы, файлы сертификатов, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML
<random>.exe
<random>.tmp
<random>.yum
file0locked.js
background.png

Расположение: 
%SystemDrive%\Documents and Settings\All Users\Desktop\HOW_TO_DECRYPT_YOUR_FILES.HTML - записка о выкупе
%User%/AppData/Local/Temp/list.txt - список зашифрованных файлов
%TEMP%\54.yum
C:\VxStream\002.jse


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Много, см. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>   Ещё >> 
Symantec Ransom.Evil >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Evil)
 Write-up (n/a)
  Thanks: 
  Michael Gillespie
  Jiri Kropac
  Thyrex
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton