пятница, 9 июня 2017 г.

Spectre

Spectre Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название. На файле написано: systemlog.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .spectre
Файлы переименовываются с использованием Base64.

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToDecryptIMPORTANT!.txt

Содержание записки о выкупе:
IMPORTANT INFORMATION!
All your files are encrypted by encryption algorithm AES-256, you can't decrypt your files without a key.
If you want to decrypt your files you should pay 200$.
To decrypt your files go to xxxx://a0142503.xspn.ru/login.php 
your ID: ***

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Все ваши файлы зашифрованы алгоритмом AES-256, вы не сможете расшифровывать файлы без ключа.
Если хотите расшифровать файлы, вы должны заплатить 200$.
Для расшифровки файлов, идите на xxxx://a0142503.xspn.ru/login.php 
ваш ID: ***

Скриншот указанного выше сайта до ввода ID

Скриншот того же сайта с сообщением
Другие страницы сайта

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются. Контактирует с удаленным C2-сервером. После шифрования на удалённый сервер отправляется информация о количестве зашифрованных файлов. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .gif, .jpeg, .jpg, .mpeg, .pdf, .png, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wav, .wmv, .xls, .xlsx, .zip (21 расширение). 
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
systemlog.exe
HowToDecryptIMPORTANT!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://a0142503.xsph.ru*** (141.8.195.157:80)
***xxxx://a0142503.xsph.ru/systemlog.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spectre)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *