суббота, 3 сентября 2016 г.

CainXPii

CainXPii Ransomware 

(фейк-шифровальщик) 


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 20 Евро с PaySafeCard, чтобы вернуть файлы обратно. Разработчик: Louis. Среда разработки: Visual Studio 2015.

© Генеалогия: Hitler > CainXPii

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера со своим окружением, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 20-евровой карты PaySafeCard и нажать кнопку "Unlock PC" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и что-то напортачил в коде, что отразилось ошибкой с .NET Framework. Оригинальные названия: CainXPii Ransomware, Hitler Ransomware и Ransomware. Видимо разработчик не определился с названием. 

UAC не обходит, требуется разрешение на запуск. Шифрование также не производится. По замыслу разработчика к зашифрованным файлам должно было добавляться составное расширение, у которого на конце было бы расширение .CainXPii

Если вымогатель сработает как задумано, то файлы на рабочем столе должны принять вид по шаблону: Hitler Ransomware_%num%.CainXPii

Образец этого криптовымогателя найден в конце сентября 2016 г. Ориентирован на англоязычных пользователей. 

Содержание текста о выкупе:
This IS Hilter RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
***

Перевод на русский язык:
Это Hilter RANSOMWARE
Внимание: Ваши файлы зашифрованы!!!!
чтобы вернуть ваш ПК, вы должны заплатить 20 € с PaySafeCard
Пожалуйста, введите код с карты в поле ниже: 
***

Распространяется с сайта, указанного в гибридном анализе. 

Email вымогателя, найденные в коде: 
vonyhd@gmail.com
Vazetv@gmail.com

Список файловых расширений, подвергающихся фейк-шифрованию:
Должны были шифроваться документы MS Office, PDF, фотографии, музыка, видео и пр.

Нарушаются ассоциации исполняемых файлов, которые приходится восстанавливать при помощи соответствующих фиксов. 

Файлы, связанные с этим Ransomware:
x.exe 
x.ini
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Video review
 Thanks: 
 MalwareHunterTeam
 GruyaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton