Potato Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .potato
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
How to recover my files.txt, How to recover my files.html
README.png, README.html
YOUR FILES WERE ENCRYPTED
using military-grade encryption (AES-256). The encrypted files have the additional extension .potato. You won't be able to retrieve your data unless you make a payment by following the steps below:
1. Download the TOR browser
2. Access the following adress through TOR Browser for further instructions
http://tzakpakp6v5vwqqh.onion/
3. Enter your ID (see below) and hit "GET KEY" for further instructions
NOTICE: There's a folder on your desktop named POTATO which contains the following files:
• ID_number.txt - an unique number that identifies your computer, which is mandatory for the payment process
• encrypted.txt - a list of files that were encrypted; if you decide to have them back, DO NOT DELETE IT
• decryptor.exe (including MSVCR100.dll) - the program you'll use for decryption once the payment is made and the decryption key is transmitted to you.
Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
с помощью шифрования военного класса (AES-256). Зашифрованные файлы имеют дополнительное расширение .potato. Вы не сможете восстановить ваши данные, если вы не сделаете оплату, следуя инструкциям ниже:
1. Загрузите TOR-браузер
2. Откройте следующий адрес через Tor-браузер для получения дальнейших инструкций
http://tzakpakp6v5vwqqh.onion/
3. Введите ваш ID (см. ниже) и нажмите кнопку "GET KEY" для получения инструкций
ВНИМАНИЕ: На рабочем столе есть папка с именем POTATO, содержащая следующие файлы:
• ID_number.txt - уникальный номер, который идентифицирует ваш ПК, является обязательным для процесса оплаты
• encrypted.txt - список файлов, которые были зашифрованы; если вы решили их вернуть, НЕ УДАЛЯЙТЕ ЕГО
• decryptor.exe (включая MSVCR100.dll) - программа, которую вы будете использовать для дешифровки после оплаты и получения ключ дешифрования.
Сайт вымогателей
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Есть сведения об использовании при этом ПО DarkComet RAT для удаленного проникновения на ПК жертв и тайного администрирования.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
potato.exe
<random>.exe
How to recover my files.txt
How to recover my files.html
ID_number.txt
decryptor.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
potatoransom@sigaint.org
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VT анализ декриптора >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Potato) Topic on BC * *
Thanks: Michael Gillespie * * *
© Amigo-A (Andrew Ivanov): All blog articles.
