вторник, 22 марта 2016 г.

BankAccountSummary

BankAccountSummary Ransomware

Strictor Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы, найденные в документах пользователя, с помощью алгоритма AES-256 и требует выкуп в $500, чтобы вернуть файлы обратно. Если выкуп не поступит вовремя, то сумма вырастет до $1000. К зашифрованным файлам добавляется расширение .locked

© Генеалогия: EDA2 >> Strictor

Вымогатель создан на основе криптоконструктора EDA2. 


Содержимое записки о выкупе:
All your precious Files on your computer
I have successfully encrypted!
Your files are encrypted To get the key to decrypt flies you have to pay 500 USD. 
If payment is not made before 19/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Click below to pay us the bitcoins!!!

Перевод записки на русский язык:
Все ваши ценные файлы на компьютере
Я успешно зашифровал!
Файлы зашифрованы, чтобы получить ключ дешифровки нужно заплатить 500 долл. 
Если оплата не поступит до 19/03/16, то стоимость дешифровки возрастет в 2 раза и станет 1000 долл.
Нажмите "Pay" для оплаты в Bitcoins!!!

 Для инфицирования компьютера используется поддельный банковский счёт "Bank_Account_Summary.pdf.exe", который приходит по email. Отсюда и название вымогателя. Для платежа предложен поддельный CryptoWall-сайт: хттп://202.181.194.227/cryptowall 

Вымогатель вносит следующие изменения в реестр: 
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\MaxFileSize
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\MaxFileSize

  Вымогателем генерируется случайный пароль из 10 цифр, с которым через функцию FileEncryption шифруется вся информация, найденная в папке пользователя "Мои документы". В отличие от других вымогателей этот не выбирает какой-то конкретный тип файлов, поэтому шифрование затрагивает все файлы, находящиеся в этом каталоге.

  По завершения шифрования в папке C:\Users\Name\Documents\ создается специальный файл WindowsUpdate.locked, который информирует жертву о том, что случилось с его файлами, и что нужно сделать, чтобы их вернуть. Забавно, но в верхней части этого сообщения находится пароль, с которым была зашифрована вся информация. 



  Информация о шифровании отправляется на C&C-сервер, расположенный в Гонконге. 

Примечательно, что вредонос будет пытаться пинговать сайт 202.181.194.227/cryptowall, а если ни один из 10 запросов не пройдёт, то будет показано следующее сообщение:

"Are you trying to fool me? Connect me to the Internet ;)"
перевод:
"Хотите обмануть меня? Подключитесь к Интернету;)"


  Благодаря инструментам HT Bruteforcer и HT Decrypter, созданным Майклом Джиллеспи для поиска пароля и дешифрования файлов, пострадавшие от этого вымогателя могут вернуть свои файлы без уплаты выкупа. 

Степень распространённости: низкая.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *