понедельник, 10 июля 2017 г.

Petya+

Petya+ Ransomware
Petya Imitator Ransomware

(фейк-шифровальщик, имитатор)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует посетить страницу в сети Tor, чтобы вернуть файлы. Оригинальное название: Petya+. На файле написано: Petya+.exe. Фальш-копирайт: Hewlett-Packard 2017. Написано в .NET. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: имитация Petya Ransomware

К фейк-зашифрованным файлам никакое расширение не добавляется. 
Файлы не шифруются. 

Образец этого крипто-вымогателя был обнаружен в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Имитирует проверку диска, как у оригинального Petya. 

Демонстрирует изображение черепа со смещёнными знаками в ASCII.

Следующий экран выступает информатором жертвы. 

Содержание текста с экрана:
You became a victim of the PETYA RANSOMWARE!
---
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy
steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE
3. Enter your personal decryption code there:
4827h91vo8724vz81972v4t12987v4z21h74vz210v49821

Перевод на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
---
Жесткие диски вашего компьютера были зашифрованы с алгоритмом  шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Даркнета, показанной на шаге 2.
Чтобы купить свой ключ и восстановить свои данные, пожалуйста, следуйте этим простым шагам:
1. Загрузите Tor-браузер на странице "https://www.torproject.org/". Если вам нужна помощь, пожалуйста, ищите в Google "access onion page".
2. Посетите одну из следующих страниц в Tor-браузере:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE
3. Введите свой личный код дешифрования:
4827h91vo8724vz81972v4t12987v4z21h74vz210v49821

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы в этой версии не шифруются.

Файлы, связанные с этим Ransomware:
Petya+.exe (Petya.exe)
<images>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://petya37h5tbhyvki.onion/n19fvE
xxxx://petya5koahtsf7sv.onion/n19fvE

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

2 комментария:

  1. В начале статьи написано что файлы не шифруются, но далее идет список расширений подвергающихся шифрованию, как это понять?

    ОтветитьУдалить
    Ответы
    1. Спасибо. Забыл исправить этот пункт заготовки. Исправил.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton