воскресенье, 19 марта 2017 г.

MOTD

MOTD Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные на сайтах с помощью AES/RSA, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: motd

Для справки: 
motd - стандартный текстовый файл в Unix-системе, содержит "сообщение дня", используемое для отправки общего сообщения всем пользователям. 

Содержание записки о выкупе:
!WARNING!
YOU ARE INFECTED
WITH THE MOST CRYPTOGRAPHIC ADVANCED RANSOMWARE
All your data of all your users, all your databases and all your Websites are encrypted
Send your UID to e-mail: sook2serit@seznam.cz
YOUR UUID IS: 28e37776-ab3e-12c6-aa5a-1la02ms0w8bp
!WARNING!

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
ВЫ ЗАРАЖЕНЫ
САМЫМ КРИПТОГРАФИЧЕСКИ ПРОДВИНУТЫМ RANSOMWARE
Все ваши данные всех ваших пользователей, все базы данных и сайты зашифрованы
Пошли свой UID на email: sook2serit@seznam.cz
ВАШ UUID: 28e37776-ab3e-12c6-aa5a-1la02ms0w8bp
ПРЕДУПРЕЖДЕНИЕ!

Первые 8 байт зарезервированы для хранения оригинального размера файла, а остальное содержание зашифровано. 

Распространяется с помощью целевых атак на серверы с помощью удалённого доступа. 

В перспективе может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это серверные файлы, документы на сайтах, текстовые и графические файлы, базы данных, архивы и пр.

Файлы, связанные с этим Ransomware:
server-key.enc
motd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
50.56.221.73
sook2serit@seznam.cz
nporchi79@seznam.cz
johnmorcbw@seznam.cz

peyton7zdupont@seznam.cz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Topic of Support
 ID Ransomware (ID as MOTD)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *