понедельник, 21 ноября 2016 г.

NMoreira, Fake Maktub

NMoreira Ransomware 

Fake Maktub Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0,5 - 1,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Создан: TeamXRat. Но работает под видом другого криптовымогателя Maktub Locker, т.к. записка о выкупе написана от maktub и к зашифрованным файлам добавляется одноименное ему расширение, хотя у прежнего Maktub Locker добавляемое расширение не было статическим. Англоязычная версия известна под названием AiraCrop Ransomware



© Генеалогия: Team XRat > NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .maktub

Активность этого крипто-вымогателя пришлась на октябрь-ноябрь 2016 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Recupere seus arquivos. Leia-me! (Восстановить свои файлы. Читай меня!)

Содержание записки о выкупе:
Olá, seus arquivos foram criptografados.
A única forma de tê los de volta, é atraves de um software juntamente com sua chave privada.
Caso haja interesse em recuperar seus arquivos, entre em contato pelo seguinte email:
contatomaktub@email.tg
No campo do email, me envie sua chave pública que está logo a baixo.
Te responderei o mais rápido possível.
Att
.maktub
*****

Перевод записки на русский язык:
Привет, твои файлы зашифрованы.
Один способ вернуть их - получить программу вместе с закрытым ключом.
Если ты заинтересован в восстановлении файлов, то напиши на этот email:
contatomaktub@email.tg
В письме пришли мне свой открытый ключ, который есть ниже.
***
Я отвечу как можно скорее.
Att
.maktub

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Email вымогателей: contatomaktub@email.tg

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Recupere seus arquivos. Leia-me!

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.


Инструкция прилагается. 

 Read to links: 
 Tweet-1 + Tweet-2 on Twitter 
 ID Ransomware (ID as NMoreira)
 Write-up (added April 24, 2017)
 *
  Thanks: 
  Michael Gillespie
  Fabian Wosar
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton