пятница, 10 февраля 2017 г.

SerbRansom 2017

SerbRansom 2017 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: R4z0rx0r Serbian Hacker. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velikasrbija

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступает html-файл или скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED WITH SERBRANSOM 2017
How to recover?
Your personal info:
Username: %USERNAME%
PC-name: %PCNAME%
Local IP: %IP%
To decrypt all your data you need to pay 500$ with BitCoin here > WALLET_ID_BTC
Send an email to us with payment (screenshot) EMAIL
Every random file will be removed permanently after 05:00 minutes!
Antivirus will not help you to decrypt your data :(

Перевод записки на русский язык:
Твои файлы были зашифрованы SERBRANSOM 2017
Как восстановить?
Твои личные данные:
Имя пользователя: %USERNAME%
Имя ПК: %PCNAME%
Локальный IP: %IP%
Для расшифровки всех твоих данных ты должен заплатить 500$ с Bitcoin здесь > WALLET_ID_BTC
Отправь по email нам чек оплаты (скриншот) EMAIL
Случайно выбранный файл будет удаляться каждые 5 минут!
Антивирус не поможет расшифровать твои данные :(

Как следует из текста, SerbRansom угрожает каждые 5 минут удалять по случайно выбранному файлу. В изученном образце этого не происходило. Возможно, это просто запугивание. 

Используется крипто-строитель, который делает как сам Ransomware, так и декриптер к нему. 
Другие разработки и предложения выложены на хакерских форумах. Среди них предложение — веб-инжекты для сайтов из Хорватии. 

Распространяется на даркнет-форумах, может в дальнейшем распространяться с помощью  email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
srbransom.exe
<random>.exe
wallpaper.jpg
<ransom_note>.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая, единичные случаи.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SerbRansom)
 Write-up
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *