Potato

Potato Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .potato

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
How to recover my files.txt, How to recover my files.html
README.png, README.html

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military-grade encryption (AES-256). The encrypted files have the additional extension .potato. You won't be able to retrieve your data unless you make a payment by following the steps below:
1. Download the TOR browser
2. Access the following adress through TOR Browser for further instructions
http://tzakpakp6v5vwqqh.onion/
3. Enter your ID (see below) and hit "GET KEY" for further instructions
NOTICE: There's a folder on your desktop named POTATO which contains the following files:
• ID_number.txt - an unique number that identifies your computer, which is mandatory for the payment process
• encrypted.txt - a list of files that were encrypted; if you decide to have them back, DO NOT DELETE IT
• decryptor.exe (including MSVCR100.dll) - the program you'll use for decryption once the payment is made and the decryption key is transmitted to you.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
с помощью шифрования военного класса (AES-256). Зашифрованные файлы имеют дополнительное расширение .potato. Вы не сможете восстановить ваши данные, если вы не сделаете оплату, следуя инструкциям ниже:
1. Загрузите TOR-браузер
2. Откройте следующий адрес через Tor-браузер для получения дальнейших инструкций
http://tzakpakp6v5vwqqh.onion/
3. Введите ваш ID (см. ниже) и нажмите кнопку "GET KEY" для получения инструкций
ВНИМАНИЕ: На рабочем столе есть папка с именем POTATO, содержащая следующие файлы:
• ID_number.txt - уникальный номер, который идентифицирует ваш ПК, является обязательным для процесса оплаты
• encrypted.txt - список файлов, которые были зашифрованы; если вы решили их вернуть, НЕ УДАЛЯЙТЕ ЕГО
• decryptor.exe (включая MSVCR100.dll) - программа, которую вы будете использовать для дешифровки после оплаты и получения ключ дешифрования.

Сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Есть сведения об использовании при этом ПО DarkComet RAT для удаленного проникновения на ПК жертв и тайного администрирования. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
potato.exe
<random>.exe
How to recover my files.txt
How to recover my files.html
ID_number.txt
decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
potatoransom@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VT анализ декриптора >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Potato)
 Topic on BC
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.