Hi Buddy! Ransomware
(шифровальщик-вымогатель)
© Генеалогия: Hidden Tear >> Hi Buddy!
После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.
Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***
Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***
Список расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg,
.js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls,
.xlsx, .xml (23 расширения).
Файлы, связанные с этим Ransomware:
READ_ME.txt
ransom.exe
t11.exe
sec_check.scr.exe
Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion
Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft
Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Hi Buddi!) Write-up, Topic Threat Landscape Dashboard
Thanks: Mosh Michael Gillespie McAfee *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.