FlatChestWare Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: FlatChestWare. На файле написано: FlatChestWare.exe. Фальш-копирайт: Microsoft. Среда разработки: Visual Studio 2015.
© Генеалогия: HiddenTear >> FlatChestWare
К зашифрованным файлам добавляется расширение .flat
Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Есть ли текстовая записка с требованием выкупа, пока неясно.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Your personal files have been encrypted, these files being photos, videos, downloads, documents, and many other files. Please do not attempt to remove this program, any attempt to remove it could cause you to be unable to recover your personal files. Only our service can decrypt your files, so disable your anti-virus and make no attempt to tamper with anything we have done.
Oh and dont feel bad for clicking 'Restart Now' we were already encrypting your files as soon as the application launched.
Click the [HELP] button below if you wish to recover your files.
Bitcoin Address:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB
Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, это файлы фото, видео, загрузки, документы и многие другие файлы. Не пытайтесь удалить эту программу, любая попытка ее удаления может привести к невозможности восстановить ваши личные файлы. Только наша служба может расшифровать ваши файлы, поэтому отключите антивирус и не пытайтесь вмешиваться в что-либо, что мы сделали.
О, и не чувствуйте себя плохо, когда вы нажимаете "Restart Now", мы уже зашифровали ваши файлы сразу после запуска приложения.
Нажмите кнопку [HELP] ниже, если вы хотите восстановить файлы.
Биткоин-адрес:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Имитирует обновление Windows.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 1PFms6LMmamjPE3VCFB83Yfa5TaoDdsjrB
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn * * *
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.