VindowsLocker Ransomware
(шифровальщик-вымогатель)
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .vindows
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Имитирует, хоть и грубо, некую техническую поддержку, принужная пострадавших заплатить за услугу разблокировки.
Запиской с требованием выкупа выступает блокировщик экрана "VindowsLocker".
Содержание текста о выкупе:
this not microsoft vindows support
we have locked your files with the zeus wirus
do one thing and call level 5 microsoft support technician at 1-844-609-3192
you will files back for a one time charge of $349.99
Перевод текста на русский язык:
Это не Microsoft Windows поддержка
Мы блокировали твои файлы с Zeus-вирусом
Убедись и звони на 5 уровень microsoft support technician 1-844-609-3192
Ты можешь вернуть файлы потратив $349.99
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt,
.php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).
Файлы, связанные с этим Ransomware:
Vindows.exe
<random_name>.tmp
Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Дополнение от Malwarebytes (от 28 ноября 2016)
VindowsLocker не имеет C&C-сервер для хранения ключей шифрования своих жертв. Он поставляется с двумя ключами API Pastebin (api_dev_key и api_user_key), которые использует, чтобы сохранить имя зараженного ПК и случайного ключа AES, используемого для блокировки файлов жертвы внутри страницы Pastebin. Но из-за допущенной ошибки вымогателям не удаётся получить ключи AES-шифрования и помочь жертвам разблокировать файлы после уплаты выкупа.
Когда жертва звонит по номеру "технической поддержки" операторы центра подключаются в удалённом сеансе. Они открывают официальную страницу поддержки Microsoft, а затем быстро вставляют сокращенный URL-адрес в адресную строку, который открывает форму (размещенную на JotForm).
Операторы вымогателей используют эту форму для сбора личных данных пользователя. Если пользователь не замечает это быстрое действие, то может поверить в то, что он всё ещё находится на сайте Microsoft и раскрыть свои личные данные.
Степень распространённости: низкая.
Подробные сведения собираются.
Внимание!
Для зашифрованных файлов есть декриптеры:
1) От Malwarebytes - скачать декриптер >>Подробная инструкция на странице блога.
2) От @TheWack0lian - скачать и запустить декриптер >>
Read to links: Tweet on Twitter ID Ransomware (ID as VindowsLocker) * *
Malwarebytes blog Write-up on BC
Thanks: JakubKroustek Michael Gillespie Catalin Cimpanu *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.