PayDOS Ransomware
Serpent Ransomware
(шифровальщик-вымогатель)
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .dng
Кроме того файлы переименовываются в нумерованном порядке: от 1 до имеющегося количества файлов. Пример см. на скриншоте выше.
Записки с требованием выкупа называются README.txt.
Все требования также продублированы в DOS-окнах: PayDOS и SERPENT.
Содержание текста из окна PayDOS:
I am so sorry you can see me. If you can I have bad news.It seems all your files have been encrypted and there is nothing that you can do about this. However with my help I can help you restore them. You need a passcode to decrypt them. Send exactly 0.33 BTC to this address:
You will be send the PASSCODE.
Перевод текста на русский язык:
Я сожалею, что вы видите меня. Если это так, то у меня для вас плохие новости. Увы, все ваши файлы зашифрованы и ничего вы не можете сделать в этом случае. Но с моей помощью я могу помочь вам вернуть их. Вам нужен passcode, чтобы дешифровать их.
Отправьте ровно 0,33 BTC по этому адресу:
Вы должны прислать PASSCODE.
Содержание текста из окна SERPENT:
Hello User,Your files have all been encrypted using a heavy encryption called "RSA-2048". You will not be able to access the files unless you have been provided the PASSCODE. This unfortunate event does have a solution By paying a small fee you can get all of your files back as you will be sent the passcode.
You can find the contact information bellow...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM
Перевод текста на русский язык:
Привет Пользователь,
Ваши файлы все зашифрованы с помощью тяжелого шифрования называемым "RSA-2048". Вы не сможете получить доступ к файлам, если вы не получили PASSCODE. Этот несчастный случай имеет решение, заплатив небольшую плату, вы можете получить все ваши файлы обратно, когда вам будет выслан passcode.
Вы можете найти контактную информацию ниже...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM
Для сведения, PASSCODE: AES1014DW256
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом легитимного ПО Skype. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Директории, подвергающиеся шифрованию:
C:\Users\%Username%\AppData\Local
C:\Users\%Username%\Desktop
C:\Users\%Username%\Documents
C:\Users\%Usernanie%\Music
C:\Users\%Usernane%\Uideos
C:\Users\%Usernane%\Downloads
C:\Users\%Username%\Pictures
Список файловых расширений, подвергающихся шифрованию:
.avi, .dav,
.dgg, .dif, .dng, .dnk, .dov, .dp3, .dp4, .dpg, .drl, .dsi, .dvi, .dxe, .dxt, .exe,
.gif, .Ink, .jpg, .mov, .mp3, .mp4, .msi, .ogg, .png, .txt, .url, .wav
(28 расширений).
Файлы, связанные с PayDOS Ransomware:
SpikeSkype_SETUP.exe
PayDOS_Ransomware_unlockcode_AES1014DW256.exe"
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3E2A.tmp\3E2B.bat
%TEMP%\3E2A.tmp\3E2B.bat C:\PayDOS_Ransomware_unlockcode_AES1014DW256.exe
И другие.
Записи реестра, связанные с PayDOS Ransomware:
см. ниже гибридный анализ.
Сетевые подключения:
см. ниже гибридный анализ.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter Write-up on BC ID Ransomware (n/a)
Thanks: Jakub Kroustek Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.