FileIce, Survey

Fileice Ransomware
Survey Ransomware

   Этот крипто-вымогатель шифрует данные пользователей, а затем заставляет пройти опрос для разблокировки компьютера. Оригинальное название: FileiceRansomware. 

Тестовая разработка этого криптовымогателя обнаружена в октябре 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа нет. 

Этот вымогатель использует опросную платформу FileIce, чтобы заставить вас пройти опрос до разблокировки компьютера. 

Выбор опроса из списка, когда ПК не заблокирован

Тот же сайт, когда ПК заблокирован

Вымогателей извлекает эти обзоры из URL *fileice.net*, как показано в исходном коде ниже.

Когда пользователь завершит опрос, то к нему в папку загрузок будет загружен файл ThxForYurTyme.txt, который покажет текстовое сообщение "Thank you for supporting me" (Спасибо тебе за поддержку меня).

Этот вымогатель пока находится в разработке (многие функции неактивны) и пока активно не распространяется. 

Например, вот политики, которые вымогатель может включить или включит в финальной версии:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableLockWorkstation" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableChangePassword" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoClose" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoLogoff" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "HideFastUserSwitching" = 1

В перспективе может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

Список файловых расширений, подвергающихся шифрованию:
в первую очередь — файлы документов и изображений.

Файлы, связанные с Fileice Ransomware:
FileiceRansomware.exe
C:\Users\User_name\Downloads\ThxForYurTyme.txt
C:\seo\Sdchost.exe

Записи реестра, связанные с Fileice Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost C:\seo\Sdchost.exe

Сетевые подключения:
66.252.2.22:80
хттп://www.fileice.net (66.252.2.22)
хттп://fileice.net/download.php?t=regular&file=3lhzu

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 марта 2018:
Пост в Твиттере >>
Результаты анализов: VB + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links: 
Tweet on Twitter
Writeup on BC
*

 Thanks: 
 Karsten Hahn by GData 
 Lawrence Abrams by BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.