Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 13 ноября 2016 г.

WickedLocker HT

WickedLocker HT Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Ранее был известен под этим же названием как обычный блокировщик-вымогатель. Теперь использует крипто-конструктор HiddenTear для блокировки и шифрования файлов. 

 © Генеалогия: HiddenTear >> WickedLocker HT

 К зашифрованным файлам добавляется расширение .locked

 Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются READ_IT_0.txt, READ_IT_1.txt ... READ_IT_24.txt и разбрасываются по рабочему столу. 
Другими информаторами выступают скринлок, встающий обоями рабочего стола красного цвета с тем же вымогательским текстом и два окна блокировщика экрана. Текст и требования аналогичные. 

Содержание записки о выкупе:
Your personal files are locked. 
To unlock your files and work as normal you have to send 1 bitcoin to our wallet.
Send 1 BTC to address 14wV6***** and send the transaction id to wickedhosting@gmx.com

Перевод записки на русский язык:
Твои личные файлы блокированы.
Для разблокировки файлов и нормальной работы ты должен прислать 1 Bitcoin на наш кошелёк.
Пришли 1 BTC на адрес 14wV6 ***** и отправь ID транзакции на wickedhosting@gmx.com

 Распространяется с помощью email-спама и вредоносных вложений (в том числе под видом PDF -документов), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

 Список файловых расширений, подвергающихся шифрованию:
Как минимум стандартный набор расширений от HiddenTear. 

 Файлы, связанные с WickedLocker HT Ransomware:
READ_IT_0.txt, READ_IT_1.txt ... READ_IT_24.txt
hidden-tear.exe
doc.exe

 Записи реестра, связанные с WickedLocker HT Ransomware:
См. ниже гибридный анализ.

 Сетевые подключения:
www.download.windowsupdate.com (104.86.110.240)
85.204.74.240/~wickedho/keys.php?info=
85.204.74.240:443 (Белиз)

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *
 *
 Thanks: 
 Jack (malwareforme)
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.
на

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.