четверг, 25 мая 2017 г.

Fake DMA

Fake DMA Ransomware
Fake DMA Locker 3 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Использует экран блокировки из шифровальщика DMA Locker 3. Среда разработки: Visual Studio 2008.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов !Encrypt!

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
All your personal files are LOCKED!
---
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1500 GBP in Bitcoin currency ( 1.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files.
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. Please read the steps carefully.
2. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. If you already have Bitcoins, pay us 1.0 BTC (1500 GBP) on following Bitcoin address:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. After payment, necessarily contact with us to get your decryption key:
data0001@tuta.io In mail title write your unigue ID:
01:07:91:50:32:25:30:07
5. We will automatically send you decryption key file after bitcoin transfer .
When you receive your decryption key file, press "OPEN" button and choose your received
decryption key file.
Then, press the "UNLOCK FILES" button and it will start unlocking all your files.
---
* You have 96 hours to pay us!
* After this time ransom will grow to
200 percent
* Ransom grow time:
29/5/2017 20:15
---
DECRYPTION KEY FILE: [...] [OPEN]
KEY STATUS: [...] [UNLOCK FILES]
//////////
"Attention! ! !
All of your copies of your system have been permanently deleted and the data on all partitions and workstations have been encrypted!
Stay calm.
You can recover all your data by making a payment of 1 BTC (1500 GBP) in Bitcoin currency"
Heuristic match: "data0001@tuta.io"
Pattern match: "https://www.coinfloor.co.uk/"
Pattern match: "https://localbitcoins.com/"

Pattern match: "https://www.coinbase.com/

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
---
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жесткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем шифра RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Единственный способ разблокировать ваши файлы - это заплатить нам 1500 фунтов стерлингов в биткойн-валюте (1.0 BTC).
После оплаты мы отправим вам ключ дешифрования автоматически, что позволит вам разблокировать файлы.
---
КАК ОПЛАТИТЬ И РАЗБЛОКИРОВАТЬ СВОИ ФАЙЛЫ?
1. Пожалуйста, внимательно ознакомьтесь с инструкциями.
2. Чтобы заплатить нам, вы должны использовать биткойн-валюту. Вы можете легко купить биткоины на следующих сайтах:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. Если у вас уже есть биткоины, заплатите 1.0 BTC (1500 GBP) на следующий биткойн-адрес:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. После оплаты обязательно свяжитесь с нами, чтобы получить ключ для расшифровки:
data0001@tuta.io В заголовке письма напишите свой уникальный ID:
01:07:91:50:32:25:30:07
5. Мы автоматически отправим вам ключ дешифрования после передачи биткойн.
Когда вы получите файл ключа дешифрования, нажмите кнопку "OPEN" и выберите полученный
файл ключа дешифрования.
Затем нажмите кнопку "UNLOCK FILES" и он начнет разблокировку всех ваших файлов.
---
* У вас есть 96 часов, чтобы заплатить нам!
* После этого выкуп вырастет на 200 %
* Время отсчета выкупа:
29.05.2013 20:15
---
Файл ключа дешифрования: [...] [OPEN]
Статус ключа: [...] [UNLOCK FILES]
//////////

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой: 

%WINDIR%\system32\cmd.exe /c %WINDIR%\system32\vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchosd.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data0001@tuta.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton