Если вы не видите здесь изображений, то используйте VPN.

среда, 29 марта 2017 г.

NxRansomware

NxRansomware Ransomware

(шифровальщик-вымогатель, Open Source)


Это вымогательский Open Source проект, выложен на GitHub в конце марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Разработчик: Guilherme Bacellar Moralez. Ник в GitHub: guibacellar. 
Среда разработки: .Net Framework 4.5 + C&C System
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update. 
Фальш-копирайт: Google Inc. 
Этимология названия: Nx = Next / т.е Next Ransomware 

К зашифрованным файлам добавляется настраиваемое расширение, например, .lock

Запиской с требованием выкупа выступает экран блокировки, в котором можно написать свой текст. 


Технические детали + IOC

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.AVI, .C, .CLASS, .CONFIG, .CPP, .CS, .CSC, .DBX, .DOC, .DOCX, .EML, .GIF, .GZ, .H, .JAVA, .JPG, .JS, .JSON, .JSP, .MBX, .MP3, .MP4, .MPEG, .MSG, .NEF, .PDF, .PHP, .PNG, .PPT, .PPTX, .PST, .PY, .R, .RAR, .TAR, .TXT, .VB, .VBS, .WAB, .XAML, .XLS, .XLSX, .ZIP (43 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, скрипты и пр.

Файлы, связанные с этим Ransomware:
GoogleUpdate.exe
master_pri_key.info
master_public_key.info

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 декабря 2017:
Пост в Твиттере >>
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки: 
I'll Make you Cry :D:D
---
What has happened To your Computer?
Your computer has been encrypted
Its better to pay ransom
Or we are going to make you feel sorry
Then nobody will help you out
Can I Recover my files back?
Yes you can. Just pay us the bit coins and we will send you decryption code
Then paste that code inside the decryption module and get everything back
How do I pay bitcoin?
Just follow the link below.
Buy and send us.
---
Send Us BitCoins of $300 worth and we will send you decryption key:
12t9dfsad5fsd6das5da64f98f4a5sasdsak

 










=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NxRansomware)
 Write-up, Topic
 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *