понедельник, 19 сентября 2016 г.

FenixLocker, Centrum

FenixLocker Ransomware 

FenixLocker 2.0 Ransomware 

Centrum Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum. 

К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".

Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3c32b0fd0c560e1ebbdda0a185e06***

Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3c32b0fd0c560e1ebbdda0a185e06***

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP. 

Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла. 
Спасибо Фабиану Восару за эту подробность

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 14 декабря 2016
Пост в Твиттере >>
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Расширение: .thedon78@mail.com!!
Результаты анализов: VT, HA


Внимание!
Для зашифрованных файлов есть декриптер!
Скачать FenixLocker Decrypter >>

Чтобы запустить дешифрование просто перетащите один из зашифрованных файлов на исполняемый файл декриптера.


Decrypter for Fenixlocker
ID Ransomware (ID as FenixLocker, FenixLocker 2.0)
Topic on BC
 Thanks:
 Fabian Wosar
 Michael Gillespie
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton