пятница, 3 февраля 2017 г.

YourRansom

YourRansom Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает связаться с автором по email, чтобы БЕСПЛАТНО вернуть файлы. Название оригинальное.

© Генеалогия: YourRansom. Начало.

К зашифрованным файлам добавляется расширение .youransom

Активность этого крипто-вымогателя ещё не наблюдалась. Образец был выложен на github.com и представлен в начале февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.txt

Содержание записки о выкупе:
Hey gay, welcome to use YourRansom. Do you like this joke? Contact me to decrypt your files, it's free! Email: i@bobiji.com

Перевод записки на русский язык:
Привет, парень, приглашая к пользованию YourRansom. Нравится ли вам эта шутка? Контакт со мной, чтобы расшифровать файлы, это бесплатно! E-mail: i@bobiji.com

Из инструкции автора на сайте github.com:
加密后的key将存于同目录下YourRansom.key文件,该文件解密后得到YourRansom.dkey置于同目录,使用-d参数即可解密。

Перевод инструкции на русский язык:
Ключ-файл YourRansom.key хранится в зашифрованном виде в том же каталога, где находятся зашифрованные файлы. Файл расшифровываются с помощью файла YourRansom.dkey. Он помещается в тот же каталог с параметром -d для расшифровки.

Ответное письмо автора шутки-разработки:
Send me the YourRansom.key file. I'll return you a YourRansom.dkey file. Put it in the directory of YourRansom binary file and rerun it. Your file will be unlocked.

Перевод ответного письма на русский язык:
Пришли мне файл YourRansom.key. Я верну тебе файл YourRansom.dkey. Положи его в папку с бинарником YourRansom и перезапусти. Твой файл разблокируется.

Распространяется пока через github.com, но в перспективе может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .avi, .doc, .docx, .gif, .inf, .jpeg, .jpg, .mov, .mp3, .mp4, .mpg, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (20 расширений). 

Это документы MS Office, текстовые файлы, фотографии, музыка, видео, архивы и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
Windows
Program
Appdata
System

Файлы, связанные с этим Ransomware:
README.txt
YourRansom.exe
YourRansom.key
YourRansom.dkey

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up (n/a)
 Thanks: 
 Roland Dela Paz
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *