Fs0ciety Locker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 CBC и 32-байтного ключа. Новый 16-байтный идентификатор генерируется для каждого файла и сохраняется в его заголовке. Вымогатели требуют выкуп в 1,5 биткоинов в течение 24 часов, чтобы вернуть файлы. Оригинальное название: Fs0ciety, указано в записке. Там же упоминанется и как Fs0ci3ty. Написан на Python.
---
Обнаружения:
BitDefender -> Generic.Ransom.Python.SocCrypt.D175215F
ESET-NOD32 -> Python/Filecoder.F
Kaspersky -> Trojan-Ransom.Python.Agent.c
Microsoft -> Ransom:Win32/Ranscrape
Symantec -> ML.Attribute.HighConfidence
TACHYON -> Ransom/W32.FsocietyLocker.9045323
Tencent -> Win32.Trojan.Raasmd.Auto
TrendMicro -> Ransom_SociePy.A
---
© Генеалогия: Fs0ciety Locker > SD Ransomware
К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety
Оригинальное имя файла вместе с оригинальным раширением сохраняются. Таким образом после шифрования файл document.doc станет document.doc.realfs0ciety@sigaint.org.fs0ciety
Шаблон: <original_filename>.realfs0ciety@sigaint.org.fs0ciety
Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г.
Записка с требованием выкупа называется fs0ciety.html и размещается на рабочем столе.
Шаблон: <original_filename>.realfs0ciety@sigaint.org.fs0ciety
Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г.
Записка с требованием выкупа называется fs0ciety.html и размещается на рабочем столе.
Содержание записки о выкупе:
Welcome To Fs0ci3ty
realfs0ciety@sigaint.org
You Will need to make a Payment of 1.5 Bitcoins within the next 24 Hours or Ransome goes to 1 Btc more daily. Your File System has been encrypted using state of the art Technology
You may already understand how this works, if you do good but if you are confused or are unaware of how this works we are hoping to be more informative with our clients.
Buying bitcoins can be very hard to do, so to make this more trust worthy than most we are going to have a secure cold payment system set up that will allow us to secure bitcoins.
As well as a different wallet address per client, each user is given a unique identifier by the server that is used to track distributed keys as well wallet addresses assigned.
You can head to http://localbitcoins.com/ and create a new account in seconds flat, than go to the wallet and send 1.5 btc to the address you were given in the ransome message
you will use the bitcoin you get through local bitcoins to pay to the unique wallet we gave you the identifier in the bottom left of this page is tied to your key contact us via email
Перевод записки на русский язык:
Добро пожаловать в Fs0ci3ty
realfs0ciety@sigaint.org
Вам нужно внести платеж в размере 1.5 биткоина в течение 24 часов или выкуп станет расти на 1 BTC ежедневно. Ваша файловая система была зашифрована с использованием самой современной технологии.
Вы можете понять, как это работает, если всё делаете хорошо, но если вы запутались или не знаете, как это работает, мы надеемся быть более информативными с нашими клиентами.
Покупка биткоинов может показаться трудной, чтобы сделать это проще и безопаснее, мы настроим безопасную платежную систему, что позволит нам безопасно получить биткоины.
А также другой адрес кошелька на одного клиента, каждому пользователю присваивается сервером уникальный идентификатор, который используется для отслеживания распределяемых ключей, присвоенный также адреса кошелька.
Вы можете отправиться в http://localbitcoins.com/ и создать новую учетную запись за секунды, перейти к кошельку и отправить 1.5 btc по указанному в сообщении о выкупе адресу.
Вы будете использовать биткоины, вы сможете через местные биткоины заплатить на уникальный кошелек, мы дали вам идентификатор в нижней левой части этой страницы, привязан к вашему ключу, свяжитесь с нами по email.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, в том числе документов с вредоносными макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.
После шифрования Fs0ciety Locker удаляет тома теневых копий файлов.
Список файловых расширений, подвергающихся шифрованию:
популярные типы файлов.
Файлы, связанные с Ransomware:
C:\Users\Ricoh\driver_update.exe
discovered.txt - содержит список файлов, которые будут зашифрованы;
fs0ciety.html - записка о выкупе;
Invoice_payment.docm - документ с вредоносным макросом.
Результаты анализов:
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ на файл Invoice_payment.docm
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: ID Ransomware Tweet on Twitter Topic on BC + Write-up on BC
Thanks: Michael Gillespie xXToffeeXx (PolarToffee) Lawrence Abrams
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.