понедельник, 15 августа 2016 г.

Korean

Korean Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно. К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском). Ориентирован на корейских пользователей. 

© Hidden Tear >> Korean Ransomware


Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога. 
Содержание записки:
당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]

Перевод текста из записки на русский:
Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]

1-й экран (для уведомления)

2-й экран (для проведения оплаты)

Содержание текста с 1-го экрана: 
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고 
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요


Перевод текста с 1-го экрана на русский язык: Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.


Перевод текста со 2-го экрана на русский язык: Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
http://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования. 
Требуется Tor-браузер.

На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей. 

Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца. 

 Распространяется с помощью email-спама и вредоносных вложений. 

Детект на VirusTotal >>

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум для вымогателей на основе Hidden Tear: 
.asp, .aspx, .csv, .doc, .docx, .html, .hwp, .jpg, .mdb, .pdf, .php, .png, .ppt, .pptx, .odt, .psd, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

 Файлы, связанные с Ransomware: 
C:\Users\User_Name\Desktop\ReadMe.txt

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton