SerbRansom 2017 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: R4z0rx0r Serbian Hacker.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .velikasrbija
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записками с требованием выкупа выступает html-файл или скринлок, встающий обоями рабочего стола.
Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED WITH SERBRANSOM 2017
How to recover?
Your personal info:
Username: %USERNAME%
PC-name: %PCNAME%
Local IP: %IP%
To decrypt all your data you need to pay 500$ with BitCoin here > WALLET_ID_BTC
Send an email to us with payment (screenshot) EMAIL
Every random file will be removed permanently after 05:00 minutes!
Antivirus will not help you to decrypt your data :(
Перевод записки на русский язык:
Твои файлы были зашифрованы SERBRANSOM 2017
Как восстановить?
Твои личные данные:
Имя пользователя: %USERNAME%
Имя ПК: %PCNAME%
Локальный IP: %IP%
Для расшифровки всех твоих данных ты должен заплатить 500$ с Bitcoin здесь > WALLET_ID_BTC
Отправь по email нам чек оплаты (скриншот) EMAIL
Случайно выбранный файл будет удаляться каждые 5 минут!
Антивирус не поможет расшифровать твои данные :(
Как следует из текста, SerbRansom угрожает каждые 5 минут удалять по случайно выбранному файлу. В изученном образце этого не происходило. Возможно, это просто запугивание.
Когда пострадавший откроет записку о выкупе, то она автоматически воспроизводит это видео с YouTube в фоновом режиме.
Крипто-строитель Используется крипто-строитель, который делает как сам Ransomware, так и декриптер к нему.
Технические детали
Распространяется на даркнет-форумах, может в дальнейшем распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Сообщается, что "антивирусы AVG и Kaspersky — лучшие антивирусы, но и они недостаточно хороши, чтобы остановить мой продукт".
Файлы, связанные с этим Ransomware:
srbransom.exe
<random>.exe
wallpaper.jpg
<ransom_note>.html
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая, единичные случаи.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as SerbRansom) Write-up *
Thanks: MalwareHunterTeam Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.