понедельник, 6 февраля 2017 г.

Cancer

Cancer Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Название оригинальное. Фальш-имя: VirusTotal.exe


© Генеалогия: выясняется.


К фейк-зашифрованным файлам и папкам добавляется расширение .cancer


Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Обои заменяются на изображение ewwwwww~cancer.png от вымогателей с надписями по экрану "I HAVE CANCER".


Cancer UAC не обходит. При получении доступа ищет и завершает процессы, которые содержат любую из следующих строк: 
alarm, anti, antivirus, av, avast, avg, avira, cheat, cheatengine, clam, cloud, comodo, dbg, debug, debug, defend, dumpcap, engine, eset, falcon, f-secure, hunter, IDAq, idaq, immunity, kasp, malware, malwarebytes, monitor, nod, norton, OllyDbg, panda, protect, qihoo, quard, regshot, root,  Sandboxie, SandboxieDcomLaunch, SandboxieRpcSs, secur, secure, shark, spy, strike, vmtool, vmtools, vmware, zone.

Убедившись, никакая защита не может его обнаружить и остановить, этот вредонос начинает свистопляску на вашем компьютере, открывая и закрывая в бешеном темпе множество разных окон с процессами, одновременно запустив анимационное троллирование. 


 


Затем переименовывает диск C: в "CANCERRRRRRRRRRRRRRRRRRRRRRRRR".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые могут подвергнуться шифрованию, если оно вообще когда-то будет прикручено:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

VirusTotal.exe
<random>.exe
<random>.tmp
CANCER~91477.exe
CANCER~73110.exe
CANCER~53884.exe
CANCER~80569.exe
CANCER~85005.exe
CANCER~66139.exe
%LOCALAPPDATA%\ewwwwww~cancer.png

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

***hostingonline.desi (162.218.48.104:80 - США)
arran.bishop89@aol.com
Skype: jquery.finland
XMPP: jqueryxmpp@exploit.im
Контакты можно вынуть только из кода. Вымогатель видимо не доделан и не требует выкуп. 


Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.

Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet by BC
 ID Ransomware (ID as Cancer)
 Video review + Video review by BC
 Write-up on BC
 Thanks: 
 Michael Gillespie
 GrujaRS
 Lawrence Abrams, Catalin Cimpanu 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton