среда, 14 сентября 2016 г.

Atom RaaS

Atom Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.01 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся трое суток (72 часа). Название оригинальное. К зашифрованным файлам по умолчанию добавляется расширение .locked.

© Генеалогия: Shark > Atom.


История развития: От Shark RaaS до Atom RaaS

Этот крипто-вымогательский проект развился из Shark Ransomware, который был представлен месяц назад, и был не просто переименован, а претерпел ряд изменений. Потому представляет собой стартап новой партнёрской вымогательской программы Atom RaaS.

Как прежде Shark, Atom RaaS также открыто доступен в Интернет, хотя большинство его конкурентов предпочитают анонимность и безопасность, которую обеспечивает име сеть Tor.

Веб-страница Atom также работает на WordPress, но, в отличие от Shark, была переработана панель администратора на главной странице сайта. 

Самое большое изменение между Atom и Shark — это новый Atom Payload Builder, свободно загружаемый EXE-файл, который позволяет преступникам быстро собрать желаемую версию Atom Ransomware.

Теперь Atom Builder генерирует полностью рабочий исполняемый Payload, а не только конфигурационный код, который использовался в EXE-файле у Shark. Это значительно облегчает получение готового бильда вымогателя и лучше работает на дистрибьютора.

На момент написания этой статьи в Builder версии 1.02 было три опции: 
- Bitcoin-адрес для получения дистрибьютором своей доли прибыли; 
- требование выкупа в популярной у вымогателей криптовалюте Bitcoin;  

- список расширений файлов, которые должны быть зашифрованы.

По умолчанию ориентирован на англоязычных пользователей, что не мешает задавать записки о выкупе на любом языке и распространять его по всему миру.

Распространяться может любым стандартным способом: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, по умолчанию подвергающихся шифрованию: 
.bmp .doc .docx .gif .gif .jpeg .jpg .m4v .mp4 .odt .pdf .png .ppt .pptx .psd .rtf .txt .xls .xlsx

Список целевых расширений также задаётся клиентом в Payload Builder.exe. 

Сервис дешифрования имеется 30 языковых локализаций.
Используя специальный ID-код отслеживания работы аффилятов, управляющий мастер-сервер Atom RaaS может отслеживать из управляющей веб-панели все инсталляции, число жертв, зараженных Atom Ransomware, их ID, число уплативших выкуп и сумму, заработанную партнёром по вымогательству.


Как и у Shark, команда Atom-а забирает 20% от каждого выплаченного жертвами выкупа. По правде говоря, нет никакой гарантии, что люди, вступившие в это неформальное бизнес-соглашение с командой Atom, когда-либо получат свои деньги. Все платежи выкупа Atom фактически направляются в Bitcoin-кошелек, контролируемый командой Atom, которая затем "обещает" переадресовать долю прибыли своим аффилят-партнёрам.

Напоминаю: Вымогательство — это преступление, а не игра! Не играйте в эти игры. Моё дело — предупредить. 

Файлы, связанные с Atom Ransomware: 
Payload Builder.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 *
 *
 Thanks: 
 Catalin Cimpanu
 Мне самому за перевод (как SNS-amigo)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *