вторник, 7 февраля 2017 г.

Ransomuhahawhere

Cyber Drill Exercise

Ransomuhahawhere

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем просит прислать немного биткоинов, чтобы вернуть файлы. Оригинальное название Ransomuhahawhere, т.е. "Ransom u-ha-ha where". Создано якобы для обучения и упражнений в Cyber Drill. Фальш-имя: AdobeInstaller. Пока в разработке, т.к. шифрует файлы только в специальной папке. 

© Генеалогия: HiddenTear >> Ransomuhahawhere

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Размещается на рабочем столе в специальной папке cyberdrill

Содержание записки о выкупе:
Files has been encrypted with Ransomuhahawhere (Cyber Drill Exercise)
Send me some bitcoins!!
excon@cyberdrillexercise. com
And Please Analyze Me Well Ya..
Incase of emergency used this:
ckQ2U***

Перевод записки на русский язык:
Файлы были зашифрованы Ransomuhahawhere (Cyber Drill Exercise)
Пришли мне немного биткоинов!!
excon@cyberdrillexercise. com
И пожалуйста анализируйте меня..
В особом случае используй это:
ckQ2U***

В конце записки указан ключ дешифрования (15 байт). 
Биткоин-адрес не указан. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивый AdobeInstaller), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
AdobeInstaller.exe
Ransomuhahawhere.exe
\Desktop\cyberdrill\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ransomuhahawhere.cyberdrillexercise.com  (128.199.240.181:80 - Великобритания)
excon@cyberdrillexercise.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 Thanks: 
 Karsten Hahn
 BleepingComputer
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *