BankAccount Summary

BankAccountSummary Ransomware

Strictor Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы, найденные в документах пользователя, с помощью алгоритма AES-256 и требует выкуп в $500, чтобы вернуть файлы обратно. Если выкуп не поступит вовремя, то сумма вырастет до $1000. Вымогатель создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> Strictor

К зашифрованным файлам добавляется расширение .locked. 

Содержимое записки о выкупе:
All your precious Files on your computer
I have successfully encrypted!
Your files are encrypted To get the key to decrypt flies you have to pay 500 USD. 
If payment is not made before 19/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Click below to pay us the bitcoins!!!

Перевод записки на русский язык:
Все ваши ценные файлы на компьютере
Я успешно зашифровал!
Файлы зашифрованы, чтобы получить ключ дешифровки нужно заплатить 500 долл. 
Если оплата не поступит до 19/03/16, то стоимость дешифровки возрастет в 2 раза и станет 1000 долл.
Нажмите "Pay" для оплаты в Bitcoins!!!

 Для инфицирования компьютера используется поддельный банковский счёт "Bank_Account_Summary.pdf.exe", который приходит по email. Отсюда и название вымогателя. Для платежа предложен поддельный CryptoWall-сайт: хттп://202.181.194.227/cryptowall 

Вымогатель вносит следующие изменения в реестр: 
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\MaxFileSize
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\MaxFileSize

  Вымогателем генерируется случайный пароль из 10 цифр, с которым через функцию FileEncryption шифруется вся информация, найденная в папке пользователя "Мои документы". В отличие от других вымогателей этот не выбирает какой-то конкретный тип файлов, поэтому шифрование затрагивает все файлы, находящиеся в этом каталоге.

  По завершения шифрования в папке C:\Users\Name\Documents\ создается специальный файл WindowsUpdate.locked, который информирует жертву о том, что случилось с его файлами, и что нужно сделать, чтобы их вернуть. Забавно, но в верхней части этого сообщения находится пароль, с которым была зашифрована вся информация. 

  Информация о шифровании отправляется на C&C-сервер, расположенный в Гонконге. 

Примечательно, что вредонос будет пытаться пинговать сайт 202.181.194.227/cryptowall, а если ни один из 10 запросов не пройдёт, то будет показано следующее сообщение:
"Are you trying to fool me? Connect me to the Internet ;)"

Перевод на русский:
"Хотите обмануть меня? Подключитесь к Интернету;)"

  Благодаря инструментам HT Bruteforcer и HT Decrypter, созданным Майклом Джиллеспи для поиска пароля и дешифрования файлов, пострадавшие от этого вымогателя могут вернуть свои файлы без уплаты выкупа. 

Степень распространённости: низкая.

Подробные сведения собираются.