NxRansomware Ransomware
(шифровальщик-вымогатель, Open Source)
Это вымогательский Open Source проект, выложен на GitHub в конце марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Разработчик: Guilherme Bacellar Moralez. Ник в GitHub: guibacellar.
Среда разработки: .Net Framework 4.5 + C&C System
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update.
Фальш-копирайт: Google Inc.
Этимология названия: Nx = Next / т.е Next Ransomware
К зашифрованным файлам добавляется настраиваемое расширение, например, .lock
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update.
Фальш-копирайт: Google Inc.
Этимология названия: Nx = Next / т.е Next Ransomware
К зашифрованным файлам добавляется настраиваемое расширение, например, .lock
Запиской с требованием выкупа выступает экран блокировки, в котором можно написать свой текст.
Технические детали + IOC
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.AVI, .C, .CLASS, .CONFIG, .CPP, .CS, .CSC, .DBX, .DOC, .DOCX, .EML, .GIF, .GZ, .H, .JAVA, .JPG, .JS, .JSON, .JSP, .MBX, .MP3, .MP4, .MPEG, .MSG, .NEF, .PDF, .PHP, .PNG, .PPT, .PPTX, .PST, .PY, .R, .RAR, .TAR, .TXT, .VB, .VBS, .WAB, .XAML, .XLS, .XLSX, .ZIP (43 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, скрипты и пр.
Файлы, связанные с этим Ransomware:
GoogleUpdate.exe
master_pri_key.info
master_public_key.info
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 11 декабря 2017:
Пост в Твиттере >>
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки:
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки:
I'll Make you Cry :D:D
---
What has happened To your Computer?
Your computer has been encrypted
Its better to pay ransom
Or we are going to make you feel sorry
Then nobody will help you out
Can I Recover my files back?
Yes you can. Just pay us the bit coins and we will send you decryption code
Then paste that code inside the decryption module and get everything back
How do I pay bitcoin?
Just follow the link below.
Buy and send us.
---
Send Us BitCoins of $300 worth and we will send you decryption key:
12t9dfsad5fsd6das5da64f98f4a5sasdsak
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as NxRansomware) Write-up, Topic
Thanks: Michael Gillespie Karsten Hahn Alex Svirid
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.