четверг, 9 февраля 2017 г.

Fadesoft

Fadesoft Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записку с требованием выкупа заменяет экран блокировки без имени. 

Ради дешёвых понтов использует картинку Umbrella Corporation из Resident Evil. Понты с зонтом, так сказать. 😄

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED !
All your important files stored on this computer and attached drives have been encrypted using strong AES-256 + RSA-2048 cryptography algorithms.
Click on [SHOW LOCKED FILES] button to see which files have been encrypted.
The only way to recover your files is to obtain a unique private decryption key stored on our server. There is no other way to decrypt your data without the private key.
To receive the private key, you have to buy Bitcoins and send 0.33 BTC to our address.
You can buy bitcoins on or www.localbitcoins.com use GOOGLE to find out how to buy and send bitcoin in your region.
YOU HAVE 96 HOURS (4 DAYS) TO PAY BEFORE THE DECRYPTION KEY IS DESTROYED ON OUR SERVER. AFTER THIS TIME YOUR DATA WILL BE LOST FOREVER!
Dont try to delete me if you want your files back. YOU HAVE BEEN WARNED.
Click on [DECRYPT MY FILES] button if you have already paid.
Decryption process is fully automated.
send 0.33 BTC to this address: ***

Перевод записки на русский язык:
Ваша личный файлы зашифрованы!
Все ваши важные файлы, хранящиеся на этом компьютере и подключенные диски были зашифрованы с использованием надежных алгоритмов шифрования AES-256 + RSA-2048.
Нажмите на кнопку [SHOW LOCKED FILES], чтобы увидеть, какие файлы были зашифрованы.
Единственный способ восстановить файлы — это получить уникальный частный ключ дешифрования, который хранится на нашем сервере. Никакого иного способа расшифровать данные без секретного ключа.
Для получения секретного ключа вы должны купить биткоины и отправить 0,33 BTC на наш адрес.
Вы можете купить биткоины на www.localbitcoins.com или в GOOGLE узнать, как купить и отправить биткоины в вашем регионе.
У вас есть 96 часов (4 дня) на оплату ключа дешифрования до его уничтожения нашим сервером. По истечении этого времени ваши данные будут потеряны навсегда!
Не пытайтесь удалить меня, если хотите вернуть ваши файлы. Вы были предупреждены.
Нажмите на кнопку [DECRYPT MY FILES], если вы уже заплатили.
Процесс дешифрования полностью автоматизирован.
отправьте 0,33 BTC по этому адресу: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Обходит UAC. Использует TOR и Privoxy для контакта с C2-сервером. Также использует CreateDesktop для создания рабочего стола под названием "pdsk", чтобы там работал Privoxy (свободный веб-прокси). После этого начинает контакт с C2-сервером, выбирая один из жестко закодированных 4-х onion-сайтов. Затем, используя smethod_19 формирует оставшиеся адреса. Зачем такие сложности, неизвестно. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы, находящиеся в папках:
windows, appdata, programdata, program files, recycle.bin, system volume, cookies, temporary internet, games, nvidia, intel, pagefile

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 6 марта 2017:

Пост в Твиттере >>
Файлы: client.exe, Neifaewiene.exe
Название: ouyiemioRoo
Email: cryptx.support@yandex.com
Сумма выкупа: 0,1 BTC
Результаты анализов: VT
<< Скриншот экрана блокировки


Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
*
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *