четверг, 7 июля 2016 г.

Fakben Team

Fakben Team Ransomware


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп 1,505 биткоина, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .locked

© Генеалогия: Hidden Tear >> Fakben Team

  Основан на Hidden Tear, но очень плохо написан, по мнению исследователей "как будто детишки баловались". Но тем не менее поставляется как Ransomware-as-a-Service (RaaS). 

Очень похож на Hi Buddi! Ransomware, но есть отличия. Активность пришлась на конец 2015 года. 


Remove Fakben Team Decrypt Fakben Decode Restore files Recovery data Удалить Fakben Team Дешифровать Расшифровать Восстановить файлы


Записка о выкупе называется READ ME ДЛЯ DECRYPT.txt и дублируется скринлоком с QR-кодом. 

  Вредонос прописывается в Автозагрузку, чтобы выполняться при каждом запуске системы для текущего пользователя и системы. Также завершает процесс и отключает диспетчер задач, установив на DisableTaskMgr значение "1". 

  Fakben регистрируется на своем C&C-сервере, используя информацию о системе пострадавшего ПК и GeoIP-местонахождение, определяемое с помощью сайта www.hostip.info. Затем поддерживает связь с C&C-сервером через определенные промежутки времени. 

Шифрованию подвержены директории Desktop, Personal, MyPictures, MyMusic и файлы со следующими расширениями:
doc, docx, xls, xslx, ppt, pptx, odt, txt, jpg, png, csv, js, sql, mdb, sln, php, asp, aspx, html, xml, psd, pdf

Подробности по функциональному коду в блоге Fortinet

Степень распространенности: низкая.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *