Cyber Drill Exercise
Ransomuhahawhere Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем просит прислать немного биткоинов, чтобы вернуть файлы. Оригинальное название Ransomuhahawhere, т.е. "Ransom u-ha-ha where". Создано якобы для обучения и упражнений в Cyber Drill. Фальш-имя: AdobeInstaller. Пока в разработке, т.к. шифрует файлы только в специальной папке.
© Генеалогия: HiddenTear >> Ransomuhahawhere
К зашифрованным файлам добавляется расширение .locked
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_IT.txt
Размещается на рабочем столе в специальной папке cyberdrill.
Содержание записки о выкупе:
Files has been encrypted with Ransomuhahawhere (Cyber Drill Exercise)
Send me some bitcoins!!
excon@cyberdrillexercise. com
And Please Analyze Me Well Ya..
Incase of emergency used this:
ckQ2U***
Перевод записки на русский язык:
Файлы были зашифрованы Ransomuhahawhere (Cyber Drill Exercise)
Пришли мне немного биткоинов!!
excon@cyberdrillexercise. com
И пожалуйста анализируйте меня..
В особом случае используй это:
ckQ2U***
В конце записки указан ключ дешифрования (15 байт).
Биткоин-адрес не указан.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивый AdobeInstaller), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg,
.mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml
(21 расширение).
Файлы, связанные с этим Ransomware:
AdobeInstaller.exe
Ransomuhahawhere.exe
\Desktop\cyberdrill\READ_IT.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://ransomuhahawhere.cyberdrillexercise.com (128.199.240.181:80 - Великобритания)
excon@cyberdrillexercise.com
См. ниже результаты анализов.
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up
Thanks: Karsten Hahn BleepingComputer Alex Svirid *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.