суббота, 28 мая 2016 г.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. 

© Генеалогия: Gomasom > RotorCrypt

Этимология названия: 
Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM, потому что для выкупа использовались email-адреса почтовой службы Gmail. 

Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "original_filename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt 

Email-адреса из такого расширения служат для связи между жертвой и злоумышленниками.
Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

 Записки о выкупе (текстовые и изображения) называются: 
de_crypt_readme.txt 
de_crypt_readme.html
de_crypt_readme .bmp
de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton