четверг, 25 мая 2017 г.

Fake DMA

Fake DMA Ransomware
Fake DMA Locker 3 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Использует экран блокировки из шифровальщика DMA Locker 3. Среда разработки: Visual Studio 2008.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов !Encrypt!

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
All your personal files are LOCKED!
---
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1500 GBP in Bitcoin currency ( 1.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files.
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. Please read the steps carefully.
2. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. If you already have Bitcoins, pay us 1.0 BTC (1500 GBP) on following Bitcoin address:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. After payment, necessarily contact with us to get your decryption key:
data0001@tuta.io In mail title write your unigue ID:
01:07:91:50:32:25:30:07
5. We will automatically send you decryption key file after bitcoin transfer .
When you receive your decryption key file, press "OPEN" button and choose your received
decryption key file.
Then, press the "UNLOCK FILES" button and it will start unlocking all your files.
---
* You have 96 hours to pay us!
* After this time ransom will grow to
200 percent
* Ransom grow time:
29/5/2017 20:15
---
DECRYPTION KEY FILE: [...] [OPEN]
KEY STATUS: [...] [UNLOCK FILES]
//////////
"Attention! ! !
All of your copies of your system have been permanently deleted and the data on all partitions and workstations have been encrypted!
Stay calm.
You can recover all your data by making a payment of 1 BTC (1500 GBP) in Bitcoin currency"
Heuristic match: "data0001@tuta.io"
Pattern match: "https://www.coinfloor.co.uk/"
Pattern match: "https://localbitcoins.com/"

Pattern match: "https://www.coinbase.com/

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
---
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жесткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем шифра RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Единственный способ разблокировать ваши файлы - это заплатить нам 1500 фунтов стерлингов в биткойн-валюте (1.0 BTC).
После оплаты мы отправим вам ключ дешифрования автоматически, что позволит вам разблокировать файлы.
---
КАК ОПЛАТИТЬ И РАЗБЛОКИРОВАТЬ СВОИ ФАЙЛЫ?
1. Пожалуйста, внимательно ознакомьтесь с инструкциями.
2. Чтобы заплатить нам, вы должны использовать биткойн-валюту. Вы можете легко купить биткоины на следующих сайтах:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. Если у вас уже есть биткоины, заплатите 1.0 BTC (1500 GBP) на следующий биткойн-адрес:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. После оплаты обязательно свяжитесь с нами, чтобы получить ключ для расшифровки:
data0001@tuta.io В заголовке письма напишите свой уникальный ID:
01:07:91:50:32:25:30:07
5. Мы автоматически отправим вам ключ дешифрования после передачи биткойн.
Когда вы получите файл ключа дешифрования, нажмите кнопку "OPEN" и выберите полученный
файл ключа дешифрования.
Затем нажмите кнопку "UNLOCK FILES" и он начнет разблокировку всех ваших файлов.
---
* У вас есть 96 часов, чтобы заплатить нам!
* После этого выкуп вырастет на 200 %
* Время отсчета выкупа:
29.05.2013 20:15
---
Файл ключа дешифрования: [...] [OPEN]
Статус ключа: [...] [UNLOCK FILES]
//////////

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой: 

%WINDIR%\system32\cmd.exe /c %WINDIR%\system32\vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchosd.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data0001@tuta.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *