Cryptorium Ransomware
(фейк-шифровальщик)
Этот вымогатель якобы шифрует данные пользователей, а затем предлагает купить ключ, чтобы вернуть файлы. Название оригинальное, кроме того, позиционируется еще как VirtualUIPro Exlusive. Разработчик: Vegard.
© Генеалогия: выясняется.
На самом деле вымогатель не шифрует файлы, а только переименовывает, но затем, чтобы запутать жертву, добавляет к ним расширение .ENC
Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки.
Содержание записки о выкупе:
CRYPTORIUM
Oh no, you had bad luck today. All your files are encrypted!
But! I have not deleted them yet! Purchase a "GBO KEY" to decrypt your files.
If not all encrypted files will be permanently deleted within 32h and then there is no way to recover them!
Be quick or no files!
*All servers are down at the moment!
You will have to find it out!
Oh and the gbo keys are all generated randomly! >:]
"DECRYPT WITH CODE"
Перевод записки на русский язык (грамота сохранена):
CRYPTORIUM
О, нет, вам не повезло сегодня. Все ваши файлы зашифрованы!
Но! Я их еще не удалил! Купите "GBO KEY" для расшифровки файлов.
Если не все зашифрованные файлы будут навсегда удалены в пределах 32 часов и тогда нет никакого способа, чтобы восстановить их!
Будь быстрым или нет файлов!
* Все серверы вниз в данный момент!
Вам придется найти его!
Ох и ключи GBO KEY все генерируются случайным образом! >:]
"DECRYPT WITH CODE"
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся переименованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
VirtualUIPro.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>
Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам.
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up * *
Thanks: Karsten Hahn Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.