Если вы не видите здесь изображений, то используйте VPN.

понедельник, 15 августа 2016 г.

Korean

Korean Ransomware

Korean Talk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно. 

 К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском). 
Ориентирован на корейских пользователей. 

© Hidden Tear >> Korean Ransomware


Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога. 

Содержание записки:
당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]

Перевод текста из записки на русский:
Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]

1-й экран (для уведомления)

2-й экран (для проведения оплаты)

Содержание текста с 1-го экрана: 
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고 
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요


Перевод текста с 1-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.


Перевод текста со 2-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
xxxx://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования. 
Требуется Tor-браузер.


На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей. 

Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца. 

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум для вымогателей на основе Hidden Tear: 
.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip,  (30 расширений). 

 Файлы, связанные с Ransomware: 
ReadMe.txt
<random>.exe

 Расположения: 
C:\Users\User_Name\Desktop\ReadMe.txt

 Сетевые подключения и связи: 
Email: powerhacker03@hotmail.com
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
xxxx://2dasasfwt225dfs5mom.onion.city


Результаты анализов: 
Детект на VirusTotal >>

 Степень распространённости: низкая (только для одной страны). 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *