CainXPii Ransomware
(фейк-шифровальщик)
Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 20 Евро с PaySafeCard, чтобы вернуть файлы обратно. Разработчик: Louis. Среда разработки: Visual Studio 2015.
© Генеалогия: Hitler > CainXPii
Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера со своим окружением, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 20-евровой карты PaySafeCard и нажать кнопку "Unlock PC" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и что-то напортачил в коде, что отразилось ошибкой с .NET Framework. Оригинальные названия: CainXPii Ransomware, Hitler Ransomware и Ransomware. Видимо разработчик не определился с названием.
UAC не обходит, требуется разрешение на запуск. Шифрование также не производится. По замыслу разработчика к зашифрованным файлам должно было добавляться составное расширение, у которого на конце было бы расширение .CainXPii
Если вымогатель сработает как задумано, то файлы на рабочем столе должны принять вид по шаблону: Hitler Ransomware_%num%.CainXPii
Образец этого криптовымогателя найден в конце сентября 2016 г. Ориентирован на англоязычных пользователей.
Содержание текста о выкупе:
This IS Hilter RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
***
Перевод на русский язык:
Это Hilter RANSOMWARE
Внимание: Ваши файлы зашифрованы!!!!
чтобы вернуть ваш ПК, вы должны заплатить 20 € с PaySafeCard
Пожалуйста, введите код с карты в поле ниже:
***
Распространяется с сайта, указанного в гибридном анализе.
Email вымогателя, найденные в коде:
vonyhd@gmail.com
Vazetv@gmail.com
Список файловых расширений, подвергающихся фейк-шифрованию:
Должны были шифроваться документы MS Office, PDF, фотографии, музыка, видео и пр.
Нарушаются ассоциации исполняемых файлов, которые приходится восстанавливать при помощи соответствующих фиксов.
Файлы, связанные с этим Ransomware:
x.exe
x.ini
Ransomware.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам.
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tw + Tw ID Ransomware (n/a) Video review
Thanks: MalwareHunterTeam GruyaRS * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.