воскресенье, 12 марта 2017 г.

CryptoMeister

CryptoMeister Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC), а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Оригинальное название из проекта: CryptoMeister, другое: Ransom Meister. Разработчик: Raphael. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на французскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Vérrouillé. 

Содержание записки о выкупе:
Vérrouillé
Votre ordinateur à été verrouillé
Tous vos fichiers ont été cryptés. Pour récupérer l'accès à votre PC, vous devez envoyer 0.1 bitcoin à l'adresse ci-dessous
loading
Etape 1 : Allez sur xxxxs://wvw.coinbase.com/siqnup
Etape 2: Créez un compte et suivez les instructions
Etape 3 : Allez dans la section "Acheter des bitcoins" puis achetez bitcoin
Etape 4: Allez dans la partie "Envoyer", entrez l'adresse indiquée ci dessus et le montant (0.1 bitcoin)
Etape 5: Cliquez sur le bouton ci-dessous des que dest fait, vos fichiers seront décryptés et le virus disparaitra
'Vérifier'
Si vous tentez de contourner le verrouillage, tous les fichiers seront publiés sur internet ainsi que vos identifiants pour tous les sites.

Перевод записки на русский язык:
Заблокировано
Ваш компьютер был заблокирован
Все ваши файлы зашифрованы. Чтобы получить доступ к вашему ПК, вам надо отправить на 0,1 Bitcoin на адрес ниже
загрузка
Шаг 1: Перейти на xxxxs://wvw.coinbase.com/siqnup
Шаг 2: Создать учетную запись и следовать инструкциям
Шаг 3: Зайти в раздел "Купить Bitcoins", а затем купить Bitcoin
Шаг 4: Зайти в раздел "Отправить", ввести адрес, указанный выше и сумму (0,1 Bitcoin)
Шаг 5: Нажать на кнопку ниже, что проверить оплату, ваши файлы будут расшифрованы и вирус исчезнет
'Проверить'
При попытке обойти блокировку, все файлы будут опубликованы в Интернете, а также ваш логин для всех сайтов.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Технические детали


Завершает процессы: ProcessHacker, taskmgr, Wireshark, Chrome, firefox
Прописывается в AppData под именем rnsm.exe.
Новое расширение получает со своего C&C-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, без разбора. 
Это, конечно же, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rnsm.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 S! Ri 
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *