четверг, 28 января 2016 г.

NanoLocker

NanoLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA), а затем требует выкуп в 0,1 Bitcoin (~$43), чтобы вернуть файлы обратно. Активность вымогателя пришлась на конец января - начало февраля 2016 г. 

  Информация о выкупе содержится в файле ATTENTION.RTF и в экране блокировке, который работает как центр управления платежами и дешифровкой. 
Экран блокировки и управления

  Способ распространения: email-спам и фишинговые письма с вредоносным вложением, маскирующимся под PDF-документ. При его открытии выходит сообщение об ошибке, но на самом деле в фоновом режиме начинается процесс сканирования и шифрования файлов. После шифрования никакого специального расширения к файлам не добавляется. Имена зашифрованных файлом и их местонахождение записываются в специальном файле %LocalAppData%\lansrv.ini

  По окончании шифрования и после перезагрузки ПК NanoLocker продолжает работать и демонстрирует экран блокировки, в котором сообщается, что случилось с файлами, какова сумма выкупа, как получить биткоины, как и их вывести и оплатить выкуп, и как использовать экран блокировки для ввода ключа и расшифровки файлов.

Список файловых расширений, подвергающихся шифрованию:
.aaf, .accdb, .aep, .aepx, .aet, .aif, .arw, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .crt, .crw, .csv, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .game, .grle, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,.jpg, .kdc, .max, .mdb, .mdf, .mef, .mid, .mlx, .mov, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .psd, .pst, .ptx, .raf, .rar, .raw, .rtf, .rwl, .sav, .sdf, .sldm, .sldx, .slot, .spv, .sql, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (138 расширений).

  NanoLocker использует уникальный способ оплаты и передачи ключей извлеченных при оплате выкупа. Для этого в экране блокировке пострадавший должен вставить строку в кодировке Base64 в поле Public Note, когда посылает оплату. Код Public Note привязывается к сделке в Bitcoin и может быть прочитан с помощью программа разработчика-вымогателя. Когда оплата будет получена, он отправит через микро-транзакцию другой код с ключом дешифрования.  

  Жертва должна вставить полученный ключ в самое нижнее поле в программе, чтобы расшифровать свои файлы, нажав кнопку "Decrypt files". 

 Из-за особенностей процесса шифрования, имеется возможность дешифровки файлов без уплаты выкупа. Здесь мы опускаем эти подробности, а желающие могут ознакомиться с ними самостоятельно. 

Файлы, связанные с NanoLocker:
C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

Записи реестра, связанные с NanoLocker:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer    C:\Users\User\AppData\Local\lansrv.exe

Степень распространённости: очень низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton