Если вы не видите здесь изображений, то используйте VPN.

среда, 1 февраля 2017 г.

DUMB

DUMB Ransomware

Ramsomeer Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR/AES, а затем требует выкуп в 0,3169 биткоинов, чтобы вернуть файлы. Название оригинальное.

Обнаружения: 
DrWeb -> Trojan.Encoder.10266
ALYac -> Trojan.Ransom.DUMB
Avira (no cloud) -> TR/FileCoder.atnvj
BitDefender -> Trojan.AgentWDCR.JKI
ESET-NOD32 -> MSIL/Filecoder.EP
Kaspersky -> Trojan-Ransom.Win32.Gen.cmq
Qihoo-360 -> Win32/Trojan.Ransom.786
Rising -> Trojan.Win32.Filecoder.bb (CLOUD)
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Gen.Pfto
TrendMicro -> Ransom_DUMB.C
VBA32 -> Hoax.Gen

© Генеалогия: Koolova > DUMB

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных и турецкоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: oku_beni.txt
Размещаются в каждой папке с зашифрованными файлами. Тот же текст написан также на экране блокировки. 


Реконструкция записки о выкупе


Скриншот экрана блокировки

Содержание записок о выкупе:
На английском: 
You have been struck with Ramsomeer
1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ
Your files have been encrypted, in fourty-eight hours the key to decrypt your files will be deleted unless you deposit 0.3169 bitcoins into our private bitcoin wallet. Do not shutdown your pc. When we received the bitcoin amount, your files will be recovered.
Send bitcoins to this address: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ

На турецком: 
Dosyalariniz sifrelendi, 48 saat icinde 0.3169 bitcoins gondermezsen dosyalariniz silinecek. Bitcoins asagidaki adrese gonder. Biz bitcoins alinca program dosyalari geri verecek otomatik.
Bu adrese bitcoins gonder: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ

Перевод записки на русский язык:
Вы были поражены Ramsomeer
Ваши файлы зашифрованы, через 48 часов ключ дешифрования ваших файлов будет удален, если вы не переведёте 0.3169 биткоина на наш Bitcoin-кошелек. Не отключайте ваш компьютер. Когда мы получим биткоины, ваши файлы будут восстановлены.



Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .cs, .css, .doc, .docx, .gif, .htm, .html, .ico, .jpeg, .jpg, .js, .png, .ppt, .pptx, .psd, .rar, .rtf, .txt, .vb, .xls, .xlsx, .zip (23 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe
oku_beni.txt
fatura_bilgi_2016_1921680123.pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 июня 2017:
Пост в Твиттере >>
Польский вариант
Файл: DUMB.exe
Сумма выкупа: 1880 zl
Результаты анализов: VT


Обновление от 16 октября 2017:
Иранский вариант
Файл: DUMB.exe
Сумма выкупа: $15
Результаты анализов: VT
См. статью Tyrant Ransomware >>





Обновление от 9 января 2018:
Пост в Твиттере >>
Файл: DUMB.exe
На файле написано: CRYPTWALKER
Результаты анализов: VT + VB + IA
Тестовая версия, шифрует только в папке "Documents/TEST/". Имена файлов не меняются. Не шифрует, если в папке есть файл с именем "crypted".

Обновление от 8 июля 2020:
Пост в Твиттере >>
Файл проекта: %USERPROFILE%\Desktop\DUMB-master\DUMB\obj\Release\DUMB.pdb
Файл EXE: DUMB.exe
Результаты анализов: VT + HA + IA





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 Write-up 
 ID Ransomware
 *
 Thanks: 
 Karsten Hahn
 Tomas Meskauskas (pcrisk.com)
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *