среда, 28 сентября 2016 г.

Al-Namrood

Al-Namrood Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email decryptioncompany@inbox.ru с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. 



Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Обновление. Al-Namrood 2.0
Файлы, зашифрованные  Al-Namrood 2.0, имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:

Степень распространённости: средняя.
Подробные сведения собираются.

ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton