вторник, 9 января 2018 г.

DeathNote

DeathNote Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES из WinRar, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Death Note (Death-Note). На файле написано: hit.exe или что-то иное. Название проекта: SilentCMD.pdb. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно с текстом (note.vbs).

Содержание текста о выкупе:
Death Note encrypted your files... go to hitler.uphero.com and get unlock password for after attack, and unlock files.. Your files are safe if you pay
Death note have no mercy on YOU

Перевод текста на русский язык:
Death Note зашифровал ваши файлы ... идите на hitler.uphero.com и получите пароль разблокировки после атаки и разблокируйте файлы. Ваши файлы безопасны, если вы платите
Death Note не пощадит ВАС

В другом (WARNING.vbs) запрограммирован следующий текст:
"Death NOte gives you a chance. Death NOte will restart and if you exit again.. you are gone",0=0,"Death note HAD A MERCY ON YOU"
Вероятно, он должен воспроизводиться звуковым файлом с помощью команды:
start cmd /k %appdata%\hitler\mp3play.exe %appdata%\hitler\bg.mp3 

Также запрограммировано окно командной строки, в которое нужно ввести ключ (код) разблокировки. 

Содержание текста о выкупе:
DEATH-NOTE
=== INSTRUCTION TO GET KEY /===
1> Goto heatler.uphero.com and complete the payment or you can get it by contacting cocbkup@gmail.com email option may take long process.. If you want your data back complete payment now or close pc complete payment then only turn it on Else you will need to pay 2x of charge
***

Перевод текста на русский язык:
DEATH-NOTE
=== ИНСТРУКЦИЯ ПОЛУЧИТЬ КЛЮЧ /===
1> Идите на сайт heatler.uphero.com и сделайте оплату или вы можете сделать это контактируя по email cocbkup@gmail.com, процесс может идти дольше. Если хотите вернуть ваши данные, сделайте оплату сейчас или выключите ПК, а затем включите его. Только потом вам нужно будет заплатить в 2 раза больше.
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Управляется файлами с расширениями .vbs и .bat в папке "hitler". Использует AES-шифрование из WinRar. Создаёт много процессов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
\afolder\
\batches\
\hitler\
\hitler\regen\
\ytmp\
windows defender.bat
note.vbs
WARNING.vbs
deathnote.bat
deathnote.exe
timemon.exe
bg.mp3
mp3play.exe
Rar.exe
и другие

Расположения:
\Temp\ ->
\Desktop\ ->
\User_folders\ ->
\Temp\afolder\
\Temp\afolder\windows defender.bat
\Temp\afolder\Rar.exe
\Temp\afolder\death.bat
\Temp\afolder\cmdc.exe
%AppData%\hitler\note.vbs
%AppData%\hitler\deathnote.bat
\hitler\processmon.exe
\hitler\wget.exe
\hitler\Rar.exe
\hitler\regen\DeathNote.exe
\hitler\regen\New Folder.exe
\hitler\WARNING.vbs
\hitler\bg.mp3
\hitler\mp3play.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://hitler.uphero.com
xxxx://files.000webhost.com/public_html/hitler.exe***
xxxxs://www.stephan-brenner.com"

xxxx://upx.tsx.org"
Email: cocbkup@gmail.com
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>

ANY.RUN анализ и обзор >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 ANY.RUN
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton