Mobef-Parisher

Mobef-Parisher Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные на взломанных серверах, а затем требует написать на почту вымоагтелей, приожить к письму 1 зашифрованный файл не более 1 МБ и файл с ключом, а также уплатить выкуп в 5 биткоинов, чтобы получить дешифровщик и вернуть файлы. Название получил от логина почты вымогателей.

© Генеалогия: Mobef >> Mobef-Parisher 

К зашифрованным файлам никакое расширение не добавляется. Файлы не переименовываются. 

Активность этого криптовымогателя пришлась на сентябрь-ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа в зависимости от разных атак могут называться по разному, например:
1NFORMAT1ONFOR.YOU
HELLO.0MG

К ним прилагается специальный файл, видимо с открытым ключом шифрования, который может иметь разные названия, например: 
ENCRYPT1ON.KEY123
LOKMANN.KEY993

Содержание текста о выкупе:
ID:255482
PC:SERVER08
USER:Administrator
---
Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* check your junk/spam folder first though
These files have been encrypted (please, keep this .log): C:\Windows\255482.log

Перевод текста на русский язык:
ID:255482 (идентификатор)
PC:SERVER08 (имя машины)
USER:Administrator
---
Привет. Я могу дешифровать твои файлы.
Напиши мне: parisher@protonmail.com
В случае, если ты не получил ответ, то напиши мне сюда *:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* проверь папку хлам / спам сначала
Эти файлы зашифрованы (только сохрани этот .log): C:\Windows\255482.log

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Известные email вымогателей: 
parisher@protonmail.com
parisher@india.com
parisher@inbox.lv
parisher@mail.bg

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:

 .3d, .3dm, .3ds, .3g2, .3gp, .7z, .abk, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bac, .bak2, .bak, .bak3, .bat, .bin, .bkp, .bmp, .bup, .cab, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .old, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wbb, .wma, .wmv, .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (163 расширения) и другие. 

Это документы, базы данных, бэкапы, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Windows\<6_digit_number>.log например, 255482.log - список зашифрованных файлов
ENCRYPT1ON.KEY123 или LOKMANN.KEY993 - нужно приложить к письму
HELLO.0MG или 1NFORMAT1ONFOR.YOU - сообщение для жертвы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Voluntary contribution wished to remain anonymous
 ID Ransomware (ID under Mobef)
 *
 *

 Thanks: 
 Unknown assistant
 Michael Gillespie
 Mihay Ice
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.