Cancer Ransomware
(фейк-шифровальщик)
Этот крипто-вымогатель якобы шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Название оригинальное. Фальш-имя: VirusTotal.exe
© Генеалогия: выясняется.
К фейк-зашифрованным файлам и папкам добавляется расширение .cancer
Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Обои заменяются на изображение ewwwwww~cancer.png от вымогателей с надписями по экрану "I HAVE CANCER".
Cancer UAC не обходит. При получении доступа ищет и завершает процессы, которые содержат любую из следующих строк:
alarm, anti, antivirus, av, avast, avg, avira, cheat, cheatengine, clam, cloud, comodo, dbg, debug, debug, defend, dumpcap, engine, eset, falcon, f-secure, hunter, IDAq, idaq, immunity, kasp, malware, malwarebytes, monitor, nod, norton, OllyDbg, panda, protect, qihoo, quard, regshot, root, Sandboxie, SandboxieDcomLaunch, SandboxieRpcSs, secur, secure, shark, spy, strike, vmtool, vmtools, vmware, zone.
Убедившись, никакая защита не может его обнаружить и остановить, этот вредонос начинает свистопляску на вашем компьютере, открывая и закрывая в бешеном темпе множество разных окон с процессами, одновременно запустив анимационное троллирование.
Затем переименовывает диск C: в "CANCERRRRRRRRRRRRRRRRRRRRRRRRR".
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, которые могут подвергнуться шифрованию, если оно вообще когда-то будет прикручено:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
VirusTotal.exe
<random>.exe
<random>.tmp
CANCER~91477.exe
CANCER~73110.exe
CANCER~53884.exe
CANCER~80569.exe
CANCER~85005.exe
CANCER~66139.exe
%LOCALAPPDATA%\ewwwwww~cancer.png
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***hostingonline.desi (162.218.48.104:80 - США)
arran.bishop89@aol.com
Skype: jquery.finland
XMPP: jqueryxmpp@exploit.im
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tweet by BC ID Ransomware (ID as Cancer) Video review + Video review by BC Write-up on BC
Thanks: Michael Gillespie GrujaRS Lawrence Abrams, Catalin Cimpanu *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.