Deadly Ransomware
Deadly for a Good Purpose Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название получил от заголовка в окне вымогателя.
Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей.
Примечательно, что в коде криптовымогателя исследователи обнаружили информацию, что шифрование файлов начнется 1 января 2017 года, как злодейский новогодний сюрприз. Там же вписан email вымогателей: gravityz3r@sigant.org
Записки с требованием выкупа называются:
ransom.html - располагается на рабочем столе;
logo.png - встаёт обоями рабочего стола.
Содержание записки о выкупе:
Deadly for a Good Purpose Ransomware
Key Will Be Destroyed On: &Date&
Your Files Are Encrypted: &FileCount&
USER ID: &UserID& - Encryption Used: AES-256
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done: nobody will ever be able to restore files... In order to decrypt the files you will need to send S500 USD in form of BTC to the following bitcoin address:
&bitwallet& (How to buv Biteoins?)
After payment contact &email& with your transaction details and "USER ID". Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.
View Encrypted Files
Перевод записки на русский язык:
Фатальный для Хорошего Дела Вымогатель
Ключ будет уничтожен On: &Дата&
Ваши файлы зашифрованы: &Число Файлов&
USER ID: &UserID& - Шифрование: AES-256
Ваши файлы безопасно зашифрованы на этом ПК: фото, видео, документы и т.д. Нажмите кнопку "Show encrypted files" для просмотра списка зашифрованных файлов, чтобы лично убедиться в этом. Шифрование сделано с использованием уникального открытого ключа AES-256, созданного для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ. Единственная копия секретного ключа позволит вам дешифровать файлы, есть на секретном сервере в Интернет; сервер уничтожит ключ по истечении периода времени, что указан в этом окне. После этого: никто и никогда не сможет вернуть файлы ... Для дешифровки файлов нужно отправить $500 USD в виде BTC на Bitcoin-адрес:
&bitwallet& (Как купить биткоины?)
После оплаты пишите на email и с деталями транзакции и "USER ID". После подтверждения оплаты вы получите ключ дешифрования вместе с декриптером. Любая попытка удалить или повреждить эту программу приведет к немедленному уничтожению закрытого ключа сервером. Осторожно.
Просмотр зашифрованных файлов
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Список файловых расширений, подвергающихся шифрованию:
.aep, .asp, .aspx, .csv, .csx, .doc, .docx, .htm, .html, .jpg, .mdb, .mp3, .pdf, .php, .png, .psd, .sln, .sql, .torrent, .txt (20 расширений)
Файлы, связанные с Deadly Ransomware:
A858SEPJANBLEED.exe
%USERPROFILE%\Desktop\ransom.html
%USERPROFILE%\Desktop\logo.png
Записи реестра, связанные с Deadly Ransomware:
См. ниже гибридный анализ.
Сетевые подключения:
хттп://lmgtfy.com/?q=how+to+buy+bitcoins
Результаты анализов:
Гибридный анализ >>
Гибридный анализ от 14 ноября >>
VirusTotal анализ >>
VirusTotal анализ от 18 ноября 2016 >>
VirusTotal анализ от 14 ноября >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter
Thanks: MalwareHunterTeam Thyrex
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.