четверг, 26 января 2017 г.

Potato

Potato Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .potato

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
How to recover my files.txtHow to recover my files.html
README.pngREADME.html
Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military-grade encryption (AES-256). The encrypted files have the additional extension .potato. You won't be able to retrieve your data unless you make a payment by following the steps below:
1. Download the TOR browser
2. Access the following adress through TOR Browser for further instructions
http://tzakpakp6v5vwqqh.onion/
3. Enter your ID (see below) and hit "GET KEY" for further instructions
NOTICE: There's a folder on your desktop named POTATO which contains the following files:
• ID_number.txt - an unique number that identifies your computer, which is mandatory for the payment process
• encrypted.txt - a list of files that were encrypted; if you decide to have them back, DO NOT DELETE IT
• decryptor.exe (including MSVCR100.dll) - the program you'll use for decryption once the payment is made and the decryption key is transmitted to you.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
с помощью шифрования военного класса (AES-256). Зашифрованные файлы имеют дополнительное расширение .potato. Вы не сможете восстановить ваши данные, если вы не сделаете оплату, следуя инструкциям ниже:
1. Загрузите TOR-браузер
2. Откройте следующий адрес через Tor-браузер для получения дальнейших инструкций
http://tzakpakp6v5vwqqh.onion/
3. Введите ваш ID (см. ниже) и нажмите кнопку "GET KEY" для получения инструкций
ВНИМАНИЕ: На рабочем столе есть папка с именем POTATO, содержащая следующие файлы:
• ID_number.txt - уникальный номер, который идентифицирует ваш ПК, является обязательным для процесса оплаты
• encrypted.txt - список файлов, которые были зашифрованы; если вы решили их вернуть, НЕ УДАЛЯЙТЕ ЕГО
• decryptor.exe (включая MSVCR100.dll) - программа, которую вы будете использовать для дешифровки после оплаты и получения ключ дешифрования.


Сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Есть сведения об использовании при этом ПО DarkComet RAT для удаленного проникновения на ПК жертв и тайного администрирования. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
potato.exe
<random>.exe
How to recover my files.txt
How to recover my files.html
ID_number.txt
decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
potatoransom@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VT анализ декриптора >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Potato)
 Topic on BC
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton