PyL33T Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название неизвестно. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает. Фальш-копирайт: Copyright Microsoft. Написан на языке Python.
© Генеалогия: другие Python Ransomware >> PyL33T Ransomware
К зашифрованным файлам добавляется расширение .d4nk
Образец этого крипто-вымогателя был найден в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке.
Записки с требованием выкупа называются: ***
Содержание записки о выкупе:
ATTENTION
You Have Been Infected With Ransomware.
Please Make Note of Your Unique Idenfier: ***
Перевод записки на русский язык:
ВНИМАНИЕ
Вы заразились вымогателем.
Обратите внимание на Ваш уникальный идентификатор: ***
Технические детали
После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.7z, .css, .dba,
.doc, .docm, .docx, .html, .JPEG, .jpg, .kbdx, .mov, .mp3, .mp4, .odb, .odc, .oma,
.pdf, .php, .ppt, .pptx, .pub, .raw, .sql, .txt, .wallet, .xlxs (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр. Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
178.62.166.7:1337 - C2-сервер
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё>> Ещё>>
Malwr анализ >>
Обновление от 6 марта 2017:
Пост в Твиттере >>
Файл: Runtime Broker.exe
Результаты анализов: VT
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as PyL33T) Write-up *
Thanks: Jakub Kroustek Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.