Fileice Ransomware
Survey Ransomware
Этот крипто-вымогатель шифрует данные пользователей, а затем заставляет пройти опрос для разблокировки компьютера. Оригинальное название: FileiceRansomware.
Тестовая разработка этого криптовымогателя обнаружена в октябре 2016 г. Ориентирован на англоязычных пользователей.
Записки с требованием выкупа нет.
Этот вымогатель использует опросную платформу FileIce, чтобы заставить вас пройти опрос до разблокировки компьютера.
Выбор опроса из списка, когда ПК не заблокирован
Тот же сайт, когда ПК заблокирован
Вымогателей извлекает эти обзоры из URL *fileice.net*, как показано в исходном коде ниже.
Этот вымогатель пока находится в разработке (многие функции неактивны) и пока активно не распространяется.
Например, вот политики, которые вымогатель может включить или включит в финальной версии:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableLockWorkstation" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableChangePassword" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoClose" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoLogoff" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "HideFastUserSwitching" = 1
В перспективе может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны!
Список файловых расширений, подвергающихся шифрованию:
в первую очередь — файлы документов и изображений.
Файлы, связанные с Fileice Ransomware:
FileiceRansomware.exe
C:\Users\User_name\Downloads\ThxForYurTyme.txt
C:\seo\Sdchost.exe
Записи реестра, связанные с Fileice Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost C:\seo\Sdchost.exe
Сетевые подключения:
66.252.2.22:80
хттп://www.fileice.net (66.252.2.22)
хттп://fileice.net/download.php?t=regular&file=3lhzu
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 8 марта 2018:
Пост в Твиттере >>
Результаты анализов: VB + VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter Writeup on BC *
Thanks: Karsten Hahn by GData Lawrence Abrams by BleepingComputer * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.