GarryWeber Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с шифруются с использованием сочетания RSA, AES-256 и SHA-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название дано по логину email вымогателей. Оригинальное, указанное на исполняемом файле: FileSpy и FileSpy Application.
© Генеалогия: X3M > GarryWeber > SteaveiWalker > CryptON
К зашифрованным файлам добавляется расширение .id-<ID>_garryweber@protonmail.ch
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: HOW_OPEN_FILES.html
Содержание записки о выкупе:
Your files are encrypted!
To get the decryptor you should:
***
pay for decrypt
bitcoin adress for pay
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
***
Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для получения расшифровки вы должны:
***
заплатить за расшифровку
биткоин-адрес для оплаты
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
Краткой запиской также выступает изображение, встающее обоями рабочего стола. Фразы написаны на португальском и английском с ошибками, указывают на файл HOW_OPEN_FILES.html.
Todos os seus arquivos estão criptografados!
All your files are encrypted!
Abra o arquivo "HOW_OPEN_FILES" no seu desktop para mais informações.
Open icon from desctop: "HOW_OPEN_FILES" for more information.
Перевод на русский:
Все ваши файлы зашифрованы!
Откройте файл на рабочем столе "HOW_OPEN_FILES" для дополнительной информации.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений (invoice-<ID>.js), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .jpg, .mp3, .pdf, .png и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
HOW_OPEN_FILES.html
<random>.exe
FileSpy.EXE
invoice-0071350.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
См. ниже результаты анализов.
Сетевые подключения и связи:
91.240.87.250/panel/index.php
greenparcel.club (70.35.207.55 - США)
vitali2001by@yahoo.co.uk - см. тот же email в обновлениях Spora
BTC: 1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (joint ID as CryptON) Write-up *
Thanks: Jakub Kroustek Michael Gillespie BleepingComputer *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.