vxLock Ransomware
vxCrypter Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, другое: vxCrypt. Разработчик: Arkade. Разработан в Visual Studio 2010.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .vxLock
Образец этого крипто-вымогателя был обнаружен в январе 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке.
Записки с требованием выкупа называются: ***
Содержание записки о выкупе:
***
Перевод записки на русский язык:
***
Технические детали
Находится в разработке. Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Проверяется наличие в системе отладчиков, песочницы и пр.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
vxLock.exe
dw20.exe
<random>.exe
<random>.ini
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >> Ещё >>
Intezer Analyze анализ >>
Any.RUN анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
VxLock - январь 2017
vxCrypter - март 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 29 марта 2019:
Пост в Твиттере >>
Пост в Твиттере >
Статья об этом варианте >>
Самоназвание: vxCrypter
Расширение: .xLck
Email: vxbtcpro@protonmail.com
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5***
- удаляет некоторые файлы, вместо их шифрования;
- наблюдаются сбои и глюки в работе;
- до сих пор находится в разработке.
Целевые файловые расширения:
.7z, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cpp, .csv, .db, .doc, .docx, .fla, .flv, .gif, .h, .hpp, .htm, .html, .java, .jpeg, .jpg, .jsp, .key, .mdb, .mpeg, .odt, .pem, .php, .pl, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .reg, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .tar, .tgz, .tgz, .tif, .tiff, .txt, .wmv, .xls, .xlsx, .xml, .xsd, .zip (56 расширений).
Отслеживает хэши SHA256 каждого зашифрованного файла, а затем удаляет файлы, которые он считает дубликатами, с тем же хэшем SHA256.
Для других файлов (.exe, .dll), дубликаты файлов не удаляются.
Результаты анализов: VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as VxLock) Write-up
Thanks: Jiri Kropac Michael Gillespie Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.