вторник, 9 мая 2017 г.

Gruxer

Gruxer Ransomware

(шифровальщик-вымогатель, гибрид-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $250 в биткоинах, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Gruxer

К зашифрованным файлам добавляется расширение .grux

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:

Содержание текста о выкупе:
----- ATTENTION! DO NOT SHUT OFF YOUR COMPUTER -----
Your personal files have been encrypted by GruxEr ransomware
Your documents, photos, databases and other important files have been encrypted with the strongest encryption known to man. And is secured with a unique key, generated for this computer. The private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay to obtain your key.
You must pay $250 in Bitcoin to the bitcoin address below. If you do not have Bitcoin visit the site Localbitcoins and purchase $250 USD worth of bitcoin. Within 2 minutes of recieveing your payment, an automated bot will send your computer your personal decryption key.
You have 72 hours to submit the payment. If you do not send the money within the provided time, all your files will be permanently crypted and no one will ever be able to recover them.
[What is ransomware?]
□ I made the payment
[Decypt my files]

Перевод текста на русский язык:
----- ВНИМАНИЕ! НЕ ВЫКЛЮЧАЙТЕ ВАШ КОМПЬЮТЕР -----
Ваши личные файлы были зашифрованы GruxEr ransomware
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием, известным человеку. И защищен уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере
и никто не сможет расшифровать ваши файлы, пока вы не заплатите за получение ключа.
Вы должны заплатить $250 в биткоинах на биткойн-адрес ниже. Если у вас нет биткоинов, посетите сайт Localbitcoins и купите биткоинов на сумму $250. В течение 2 минут после получения платежа бот автоматически отправит вашему компьютеру ваш личный ключ дешифрования.
У вас есть 72 часа, чтобы отправить платеж. Если вы не отправите деньги в течение этого времени, все ваши файлы будут зашифрованы навсегда, и никто не сможет их восстановить.
кнопка [What is ransomware?]
□ Я сделал платеж
кнопка [Decypt my files]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Состоит Gruxer из трёх частей: 
1) блокировщик экрана - Gruxer (собственно Gruxer), блокирует экран пользователя и демонстрирует свой с требованиями о выкупе;
2) шифровальщик - Tears (собственно HiddenTear), извлекается и запускается из загрузчика;
3) червь JPG-инфектор - Worm, ищет JPG-файлы и перезаписывает начало файла встроенным PNG-файлом.


Код встроенного шифровальщика HiddenTear

Содержание записки о выкупе из модуля шифрования:
Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs, desserts, being drunk.

Перевод на русский язык:
Файлы были зашифрованы hidden tear
Пошлите мне немного биткоинов или кебаб
И еще я ненавижу ночные клубы, десерты, пьяниц.


Файлы, атакованные червём, в сравнении с оригинальными

PNG-изображение, используемое червём (кривизна надписи оригинальная)

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GRUXER.EXE
TEARS.EXE
WORM.EXE
READ_IT.txt

Расположения:
\Desktop\READ_IT.txt
\Temp\GRUXER.EXE
\Temp\TEARS.EXE
\Temp\WORM.EXE

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 11 мая 2017:

Пост в Твиттере >>
Файл: GruxEr.exe
Результаты анализов: VT 
<< Скриншот экрана 
*
*
*
*

Обновление от 14 мая 2017:
Файлы: GRUXER.EXE
HIDDEN-TEAR - COPY.EXE
Результаты анализов: VT 
<< Скриншот экрана







 Read to links: 
 Tweet on Twitter
 ID Ransomware  (n/a)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *