Fadesoft Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение: ***нет данных***
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записку с требованием выкупа заменяет экран блокировки без имени.
Ради дешёвых понтов использует картинку Umbrella Corporation из Resident Evil. Понты с зонтом, так сказать. 😄
Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED !
All your important files stored on this computer and attached drives have been encrypted using strong AES-256 + RSA-2048 cryptography algorithms.
Click on [SHOW LOCKED FILES] button to see which files have been encrypted.
The only way to recover your files is to obtain a unique private decryption key stored on our server. There is no other way to decrypt your data without the private key.
To receive the private key, you have to buy Bitcoins and send 0.33 BTC to our address.
You can buy bitcoins on or www.localbitcoins.com use GOOGLE to find out how to buy and send bitcoin in your region.
YOU HAVE 96 HOURS (4 DAYS) TO PAY BEFORE THE DECRYPTION KEY IS DESTROYED ON OUR SERVER. AFTER THIS TIME YOUR DATA WILL BE LOST FOREVER!
Dont try to delete me if you want your files back. YOU HAVE BEEN WARNED.
Click on [DECRYPT MY FILES] button if you have already paid.
Decryption process is fully automated.
send 0.33 BTC to this address: ***
Перевод записки на русский язык:
Ваша личный файлы зашифрованы!
Все ваши важные файлы, хранящиеся на этом компьютере и подключенные диски были зашифрованы с использованием надежных алгоритмов шифрования AES-256 + RSA-2048.
Нажмите на кнопку [SHOW LOCKED FILES], чтобы увидеть, какие файлы были зашифрованы.
Единственный способ восстановить файлы — это получить уникальный частный ключ дешифрования, который хранится на нашем сервере. Никакого иного способа расшифровать данные без секретного ключа.
Для получения секретного ключа вы должны купить биткоины и отправить 0,33 BTC на наш адрес.
Вы можете купить биткоины на www.localbitcoins.com или в GOOGLE узнать, как купить и отправить биткоины в вашем регионе.
У вас есть 96 часов (4 дня) на оплату ключа дешифрования до его уничтожения нашим сервером. По истечении этого времени ваши данные будут потеряны навсегда!
Не пытайтесь удалить меня, если хотите вернуть ваши файлы. Вы были предупреждены.
Нажмите на кнопку [DECRYPT MY FILES], если вы уже заплатили.
Процесс дешифрования полностью автоматизирован.
отправьте 0,33 BTC по этому адресу: ***
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Обходит UAC. Использует TOR и Privoxy для контакта с C2-сервером. Также использует CreateDesktop для создания рабочего стола под названием "pdsk", чтобы там работал Privoxy (свободный веб-прокси). После этого начинает контакт с C2-сервером, выбирая один из жестко закодированных 4-х onion-сайтов. Затем, используя smethod_19 формирует оставшиеся адреса. Зачем такие сложности, неизвестно.
Список файловых расширений, подвергающихся шифрованию:
Пропускает файлы, находящиеся в папках:
windows, appdata, programdata, program files, recycle.bin, system volume, cookies, temporary internet, games, nvidia, intel, pagefile
Файлы, связанные с этим Ransomware:
Neifaewiene.exe, evtmon.exe, client.exe - названия вредоносного файла.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Обновление от 6 марта 2017:
Пост в Твиттере >>
Файлы: client.exe, Neifaewiene.exe
Название: ouyiemioRoo
Email: cryptx.support@yandex.com
Сумма выкупа: 0,1 BTC
Результаты анализов: VT
<< Скриншот экрана блокировки
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up *
Thanks: MalwareHunterTeam Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.