среда, 28 сентября 2016 г.

Al-Namrood

Al-Namrood Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email decryptioncompany@inbox.ru с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. 



Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Обновление. Al-Namrood 2.0
Файлы, зашифрованные  Al-Namrood 2.0, имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:

Степень распространённости: средняя.
Подробные сведения собираются.

ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton