Herbst (Autumn) Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. Ориентирован на немецкоязычных пользователей.
К зашифрованным файлам добавляется расширение .herbst. Название происходит от немецкого слова "der Herbst" — "осень" (англ. Autumn). Оригинальное название: Kryptolocker.
Записка с требованием выкупа Encrypted.html написана на немецком языке и представляет собой диалоговое окно с формой вставки текстовой информации, необходимой для дешифровки файлов после получения оплаты.
Herbst шифрует данные в каталоге StartupPath и папках пользователя Desktop, MyPictures, MyMusic, Personal. Шифруются не только пользовательские, но и исполняемые файлы и даже ярлыки (см. скриншот ниже).
Перевод записки о выкупе на русский язык:
Ваш компьютер только что был зашифрован с помощью AES 256, потому любые средства бесполезны, ваши данные только с соответствующим ключом могут быть восстановлены. Вы могли бы данные и сами расшифровать, но на это в настоящее время по техническим меркам уйдёт 100 лет.
Потому мы хотим попросить небольшую разовую плату за ключ дешифрования. Если вы согласны с этим предложением, то мы хотим вас поскорее осчастливить, потому что наше интернет-хранилище ограничено по размерам и, как это не прискорбно, вскоре мы будем вынуждены удалить данные.
Отправьте 0,1 Bitcoin на следующий Bitcoin-адрес, чтобы получить ключ дешифрования. После получения оплаты мы пришлем вам
Transaktions ID, который нужно вставить в текстовом поле и нажать кнопку Decrypt (Дешифровать).
По данным специалистов Fortinet, которые обнаружили частично недоделанный функционал, этот криптовымогатель скорее всего был выпущен в бета-варианте для изучения способности антивирусов его обнаруживать.
Список файловых расширений, подвергающихся шифрованию:
.bin, .doc, .docx, .ini, .lnk, .log, .tmp, .txt, .xls, .xlsx, .xml и другие.
Файлы, связанные с Herbst Ransomware:
Encrypted.html
Kryptolocker.exe
C:\DOCUME~1\User\LOCALS~1\Temp\<random>.tmp
C:\Documents and Settings\User\Local Settings\Temp\<random>.tmp
Записи реестра, связанные с Herbst Ransomware:
См. ниже анализы
Сетевые подключения:
нет
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Manalyzer анализ >>
Степень распространённости: очень низкая.
Подробные сведения собираются.