четверг, 26 января 2017 г.

Potato

Potato Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .potato

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
How to recover my files.txt, README.png, README.html
Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military-grade encryption (AES-256). The encrypted files have the additional extension .potato. You won't be able to retrieve your data unless you make a payment by following the steps below:
1. Download the TOR browser
2. Access the following adress through TOR Browser for further instructions
http://tzakpakp6v5vwqqh.onion/
3. Enter your ID (see below) and hit "GET KEY" for further instructions
NOTICE: There's a folder on your desktop named POTATO which contains the following files:
• ID_number.txt - an unique number that identifies your computer, which is mandatory for the payment process
• encrypted.txt - a list of files that were encrypted; if you decide to have them back, DO NOT DELETE IT
• decryptor.exe (including MSVCR100.dll) - the program you'll use for decryption once the payment is made and the decryption key is transmitted to you.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
с помощью шифрования военного класса (AES-256). Зашифрованные файлы имеют дополнительное расширение .potato. Вы не сможете восстановить ваши данные, если вы не сделаете оплату, следуя инструкциям ниже:
1. Загрузите TOR-браузер
2. Откройте следующий адрес через Tor-браузер для получения дальнейших инструкций
http://tzakpakp6v5vwqqh.onion/
3. Введите ваш ID (см. ниже) и нажмите кнопку "GET KEY" для получения инструкций
ВНИМАНИЕ: На рабочем столе есть папка с именем POTATO, содержащая следующие файлы:
• ID_number.txt - уникальный номер, который идентифицирует ваш ПК, является обязательным для процесса оплаты
• encrypted.txt - список файлов, которые были зашифрованы; если вы решили их вернуть, НЕ УДАЛЯЙТЕ ЕГО
• decryptor.exe (включая MSVCR100.dll) - программа, которую вы будете использовать для дешифровки после оплаты и получения ключ дешифрования.


Сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Есть сведения об использовании при этом ПО DarkComet RAT для удаленного проникновения на ПК жертв и тайного администрирования. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
potato.exe
<random>.exe
How to recover my files.txt
How to recover my files.html
ID_number.txt
decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
potatoransom@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VT анализ декриптора >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Potato)
 Topic on BC
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *