пятница, 23 сентября 2016 г.

Cyber SpLiTTer Vbs

Cyber SpLiTTer Vbs Ransomware

(фейк-шифровальщик)

(шифровальщик-вымогатель)


   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин за дешифровку файлов. Название оригинальное, написано в окне экрана блокировки. Новая версия уже шифрует данные с помощью AES-256. Разработчик: Cyber SpLiTTer Vbs Team.

© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs

В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа. 

Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".

Перевод на русский язык:
твои изображения, видео и документы зашифрованы.

По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся. 

Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях

Детект на VirusTotal >>

Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам

Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе. 

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT

Обновление от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn


Обновление от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn  





Обновление от 13-14 февраля 2017:
Пост в Твиттере >>
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT
Скриншоты >>
 

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf



Обновление от 21 августа 2017:
Пост в Твиттере >>
Файлы: STUB.exe
Расширение: .Isis
Email: mifoudz19@gmail.com
BTC: 31zwsxv9xr2W6mnUdJTDNxhBch2gWUGuSx
Результаты анализов: HA+VT
<< Скриншот экрана блокировки







Read to links:
Tweet on Twitter
Write-up on BC
*
*
 Thanks:
Karsten Hahn by GData
Lawrence Abrams
Michael Gillespie
GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *