Если вы не видите здесь изображений, то используйте VPN.

суббота, 4 января 2020 г.

SlankCryptor

SlankCryptor Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, включает таймер и угрожает уничтожить данные пользователей с помощью форматирования жесткого диска, если не будут выполнены требования и выплачен выкуп. Демонстрирует фотографии индонезийской рок-группы Slank в экране блокировки с таймером времени. Оригинальное название: SlankCryptor. На файлах написано: WindowsApp.exe и SlankCryptor Profit Only. Нацелен только на извлечение прибыли: "SlankCryptor Profit Only". Страна разработки: Индонезия. 

Обнаружения:
DrWeb -> BackDoor.BladabindiNET.10, Trojan.Encoder.30785
BitDefender -> Trojan.GenericKD.32913036, Gen:Heur.Ransom.HiddenTears.1
ESET-NOD32 -> A Variant Of MSIL/Bladabindi.AS
McAfee -> RDN/Generic.grp
TrendMicro -> Backdoor.Win32.BLADABINDI.THAOFBO
Symantec -> ML.Attribute.HighConfidence
Kaspersky -> HEUR:Trojan.MSIL.DiskWriter.gen
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Trojan.Casur!8.10E51 (CLOUD)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ✂️ HiddenTear + .NET >> SlankCryptor


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .slank


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Тестовый образец этого крипто-вымогателя был найден в начале января 2020 г. Штамп времени и дата первой загрузки на VT: 8 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 


Содержание записки о выкупе:
Your Computer will reboot at:
20:59:39
And All your Hard Drives will formatted!
---
How to save my PC and Get back my data? This is pretty easy. You can give your money to Slank Band participants
and we will give you decryptor then you can able to save your PC and Data.
Our Help Site:
http://www.slank.tk/informasi.html
Our Official Site: http://www.slank.com
BY: BIMO SETIAWAN ALMACHZUMI
(BIMBIM)
---
WARNING
DON'T TRY TO SHUT DOWN OR
REBOOT YOUR PC BECAUSE
YOUR PC WILL GET WEIRD THINGS
AND WILL BLOCKED TOTALLY.
YOU WILL GET WHAT WE SAY
YOU CANNOT RECOVER ANY DATA
FROM ANOTHER DEVICES.
---
OK. I'll Give mv monev now!

Перевод записки на русский язык:
Ваш компьютер перезагрузится:
20:59:39
И все ваши жесткие диски будут отформатированы!
Как сохранить мой ПК и вернуть мои данные? Это очень просто. Вы можете отдать свои деньги участникам Slank Band, и мы дадим вам расшифровку, тогда вы сможете сохранить свой ПК и Данные.
Наш справочный сайт:
http://www.slank.tk/informasi.html
Наш официальный сайт: http://www.slank.com
На: БИМО СЕТИАВАН АЛЬМАЧЗУМИ (BIMBIM)
---
ПРЕДУПРЕЖДЕНИЕ
НЕ ПЫТАЙТЕСЬ ВЫКЛЮЧИТЬ ИЛИ ПЕРЕЗАГРУЗИТЬ ВАШ ПК, Т.К. ВАШ ПК ПОЛУЧИТ СТРАННЫЕ ВЕЩИ И БУДЕТ ЗАБЛОКИРОВАН.
ВЫ ПОЛУЧИТЕ ТО, ЧТО МЫ ГОВОРИМ
ВЫ НЕ СМОЖЕТЕ ВОССТАНОВИТЬ ЛЮБЫЕ ДАННЫЕ С ДРУГИХ УСТРОЙСТВ.
---
[OK. Я дам свои деньги сейчас!]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
slkc.exe
<ransom_note>.txt - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: daqexploitfree.duckdns.org
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *