Если вы не видите здесь изображений, то используйте VPN.

среда, 29 марта 2017 г.

Pr0tector

Pr0tector Ransomware

Sorebrect Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pr0tect

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала распространялся в ближневосточных странах (Кувейт, Ливан). Но к началу мая уже был в Канаде, Китае, Тайване, Японии, Хорватии, Италии, Мексике, России, США. 

Записки с требованием выкупа называются: READ ME ABOUT DECRYPTION.txt
Pr0tector Ransomware

Содержание записки о выкупе:
Your files were encrypted.
Your personal ID is: PCHOSTNAME#601E1*****470
To buy private key for unlocking files please contact us:
pr0tector@india.com
pr0tector@tutanota.com
Please include the ID above.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Ваш личный ID: PCHOSTNAME # 601E1*****470
Чтобы купить закрытый ключ для разблока файлов, напишите нам:
pr0tector@india.com
pr0tector@tutanota.com
Включите ID, что выше.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует возможности легитимной утилиты PsExec, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Он активно развертывает PsExec и выполняет инъекцию кода. Потом инжектирует свой код в системный процесс svchost.exe, чтобы далее легитимно шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME ABOUT DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
pr0tector@india.com
pr0tector@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Pr0tector)
 Write-up by TrendMicro, Topic
 * 
 Thanks: 
 Michael Gillespie
 Buddy Tancio (TrendMicro)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *