Fakben Team

Fakben Team Ransomware

  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп 1,505 биткоина, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .locked. 

© Генеалогия: Hidden Tear >> Fakben Team

  Основан на Hidden Tear, но очень плохо написан, по мнению исследователей "как будто детишки баловались". Но тем не менее поставляется как Ransomware-as-a-Service (RaaS). 

Очень похож на Hi Buddi! Ransomware, но есть отличия. Активность пришлась на конец 2015 года. 

Remove Fakben Team Decrypt Fakben Decode Restore files Recovery data Удалить Fakben Team Дешифровать Расшифровать Восстановить файлы

Записка о выкупе называется READ ME FOR DECRYPT.txt и дублируется скринлоком с QR-кодом. 

  Вредонос прописывается в Автозагрузку, чтобы выполняться при каждом запуске системы для текущего пользователя и системы. Также завершает процесс и отключает диспетчер задач, установив на DisableTaskMgr значение "1". 

  Fakben регистрируется на своем C&C-сервере, используя информацию о системе пострадавшего ПК и GeoIP-местонахождение, определяемое с помощью сайта www.hostip.info. Затем поддерживает связь с C&C-сервером через определенные промежутки времени. 

Шифрованию подвержены директории Desktop, Personal, MyPictures, MyMusic и файлы со следующими расширениями:
doc, docx, xls, xslx, ppt, pptx, odt, txt, jpg, png, csv, js, sql, mdb, sln, php, asp, aspx, html, xml, psd, pdf

Подробности по функциональному коду в блоге Fortinet. 

Степень распространенности: низкая.
Подробные сведения собираются.