FSociety

FSociety Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, но затем даже не требует выкуп за дешифровку файлов. Название происходит от названия вымышленной хакерской группировки из американского телесериала "Mr. Robot", в котором пропагандируется борьба хактивистов с обществом потребления. Название не так просто, как может показаться, т.к. содержит в себе англоязычную фразу "F*ck Society". После инфицирования ПК на экран выводится логотип FSociety. К зашифрованным файлам добавляется расширение .locked. 

© Генеалогия: EDA2 >> FSociety 

 Записок с требованием выкупа нет. Кроме логотипа FSociety, на экране инфицированного ПК не отображается сообщение с требованием выкупа и не предоставляются никакие контакты для связи. Из чего можно сделать вывод о недоработанности шифровальщика-вымогателя. 

Этот логотип послужил названием вымогателя

 Распространяться может с помощью email-спама и вредоносных вложений, в том числе замаскированные под PDF-файлы. 

Перед шифрование перебирает и сканирует все буквы локальных дисков (от C до Z), но также ищет сетевые диски. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум: .asp .aspx .csv .doc .docx .html .jpg .mdb .odt .php .png .ppt .pptx .psd .sln .sql .txt .xls .xlsx .xml

 Файлы, связанные с FSociety Ransomware: 
eda2.exe
filedata.exe

 Записи реестра, связанные с FSociety Ransomware: 
 см. ниже гибридный анализ.

Сетевые подключения:
www.archem.hol.es
error.hostinger.eu
хттп://i.imgur.com/PNZaSrX.jpg
185.28.20.87:80 (Литва)
31.170.160.61:80 (США)
и др., см. гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.