вторник, 31 января 2017 г.

Netflix

Netflix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп биткоинах, равнозначный $100 (~0,18 BTC), чтобы вернуть файлы. Название указано в обзоре TrendMicro. Среда разработки: Visual Studio 2015. Фальш-имя: Netflix Login Generator v1.1


© Генеалогия: выясняется.


Netflix — американская компания, поставщик фильмов и сериалов на основе потокового мультимедиа. Netflix работает на различных устройствах и приложениях: Smart TV, Windows Phone, Android, iOS, PC, Mac OS, Nintendo Wii, Nintendo Wii U, PlayStation 3, Xbox 360, PlayStation Vita, Nintendo 3DS, PlayStation 4 и Xbox One. Netflix имеет 93 миллиона абонентов в более чем 190 странах мира, потому киберпреступники захотели "кусок от пирога". Компания Netflix предлагает бесплатный просмотр фильмов в течение месяца со дня регистрации. Потом нужно приобрести подписку и ввести код. На этом сыграли вымогатели, распространяющие под видом генератора кода вредоносные приложения, в числе Netix (Netflix) Ransomware. 


Ранее я уже рассказывал о подобном использовании известного бренда для распространения крипто-вымогателя PopcornTime Ransomware


К зашифрованным файлам добавляется расширение .se

Активность этого крипто-вымогателя пришлась на конец января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются Instructions.txt и размещаются на рабочем столе жертвы. 


Также используется скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
#########################
#****************************#
#########################
All of your files have been encrypted with a military-grade encryption algorithm (AES 256)
The only way to get your files back is to visit in *** your web browser to buy the decryption key.
To purchase Bitcoin, please register an account with a Bitcoin wallet such as the
Coinbase iPhone and Android app and buy $100 worth of Bitcoin, which is -0.18 BTC.
When you visit the website, enter this ID: 17 to get your decryption key.
After you have received your decryption key, open the SE Decrypter program and enter the key that you received. Your files will then be decrypted.

Перевод записки на русский язык:
Все файлы были зашифрованы с алгоритмом шифрования военного класса (AES 256)
Единственный способ получить файлы обратно, это открыть *** в вашем веб-браузер, чтобы купить ключ дешифрования.
Для покупки биткоинов, пожалуйста, зарегистрируйте Bitcoin-кошелёк, такие как Coinbase iPhone и Android app и купить Bitcoin на сумму $100, которая ~0,18 BTC.
Когда вы посетите веб-сайт, введите этот ID: 17, чтобы получить ключ дешифрования.
После того, как вы получили ключ дешифрования, откройте программу SE Decrypter и введите ключ, который вы получили. Ваши файлы будут расшифрованы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Окно вымогателя, выдающим себя за генератор


Результат работы "генератора"

Разумеется, он ничего на самом деле не генерирует, т.к. в него вшита только одна учетная запись. А в это время производится реальное шифрование файлов жертвы. 

Примечательно, что этот крипто-вымогатель завершает работу, если ОС не является Windows 7 или Windows 10.

Список файловых расширений, подвергающихся шифрованию:
.ai, .asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .epub, .flp, .flv, .gif, .html, .itdb, .itl, .jpg, .m4a, .mdb, .mkv, .mp3, .mp4, .mpeg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .sql, .txt, .wma, .wmv, .xls, .xlsx, .xml, .zip (39 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.


Файлы, связанные с этим Ransomware:

Netflix Login Generator v1.1.exe (Netflix Gen.exe) - исполняемый файл вымогателя;
netprotocol.exe - копия исполняемого файла;
Instructions.txt - записка о выкупе;
man.log - лог работы;
SE Decrypter - декриптер от вымогателей. 

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

108.61.173.155:80 - США
См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.

Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 Write-up  + Write-up
 ID Ransomware (ID as Netix)
 Thanks: 
 Karsten Hahn
 Trend Micro
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *