пятница, 2 сентября 2016 г.

Flyper

Flyper Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .flyper

Название происходит от расширения, добавляемого к файлам или от логина в email вымогателей. 

С новой версией от 8 сентября появилось новое расширение .locked, т.е. как в базовом проекте HiddenTear. 

© Генеалогия: Hidden Tear >> Flyper

Записка с требованием выкупа называется instruction.txt и добавляется в каждую папку с зашифрованными файлами. 
Есть также html-файл instruction.html с аналогичным содержанием. 

Кроме записок о выкупе имеется ещё скринлок, встающий обоями рабочего стола, на котором имеется надпись YOU HAVE BEEN HACKED !

Содержание записки о выкупе:
Your personal files have been encrypted with strongest encryption RSA 2048 and unique key generated for this computer.
We present a decrypter software which allows to decrypt and return control to all your encrypted files.
We accept a payment with Bitcoin, there are many methods to get them.
On these sites you can buy Bitcoin
localbitcoin.com cex.io btcdirect.eu
To get KEY and Decrypter Program :
1) Send 0.5 BTC bitcoins to this address with Description your PC Computer Name
Bitcoin Address 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Contact me by email to get your key 
flyper01@sigaint.org

Перевод записки на русский язык (оригинальный стиль сохранён):
Твои личные файлы были зашифрованы с сильным шифрованием RSA 2048 и уникальным ключом, сгенерированным для этого компьютера.
Мы презентуем программу Decrypter, которая дешифрует и вернёт контроль над всеми твоими зашифрованными файлами.
Мы принимаем оплату в Bitcoin, есть много методов для их получения.
На этих сайтах ты можешь купить Bitcoin
localbitcoin.com cex.io btcdirect.eu
Для получения ключа и программы Decrypter:
1) Отправь 0,5 BTC по этому адресу с описанием твоего PC компьютерного имени
Bitcoin-адрес 1PniPmm5kiuuAhXpBWR3QJiUtpfAAFm2SS
2) Свяжись со мной по email для получения ключа
flyper01@sigaint.org

Распространяется с помощью email-спама и вредоносных вложений.

Шифрованию в обязательном порядке подвержены папки пользователей: Документы, Загрузки, Изображения, Музыка, Видео.

Список файловых расширений, подвергающихся шифрованию:
 .3ds, .3gp, .7z, .asf, .asp, .aspx, .avi, .bak, .bat,.bmp, .cmd, .crt, .csr, .csv, .db, .dbf, .dct, .doc,.docm, .docx, .dot, .dotm, .dotx, .dwg, .fla, .flv, .gif, .gz, .html, .jpeg, .jpg,.key, .m3u, .m4u, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpeg,.mpg, .odb, .odp, .odt,.otp, .ott, .p12, .pdf, .pem, .php, .png,.png, .pot,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .psd,.rar, .rtf, .sh, .slk, .sln, .sql,.std, .sti, .stw, .swf, .sxd, .sxi,.sxw, .tar, .tbk, .tgz, .tif, .tiff,.txt, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .vstx, .vsx , .vtx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (108 расширений). Из списка было удалено 9 повторов. 

Файлы, связанные с Ransomware:
instruction.txt
instruction.html
Старый PDB: C:\Users\User_name\Desktop\hidden-tear\hidden-tear\obj\Debug\invoice.pdb
Новый PDB: C:\Users\User_name\Desktop\Invoice\HiDdEn-TeAr\obj\Debug\invoice.pdb

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 26 ноября 2016:
Расширение: .flyper
Записка: Read_Me.txt
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются.


https://twitter.com/malwrhunterteam/status/773771485643149312
https://id-ransomware.malwarehunterteam.com/
http://www.bleepingcomputer.com/forums/t/626330/kawaiilocker-ransomware-help-support-how-decrypt-filestxt/
 Thanks:
 MalwareHunterTeam
 Michael Gillespie (Demonslay335)

 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton