X-files Ransomware
Digisom Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, потом угрожает удалять один файл каждый 2 часа и требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Названия от использованных элементов. Фальш-имя: Firefox. Фальш-копирайт: Firefox and Mozilla Developers / Microsoft.
© Генеалогия: HiddenTear (модифицированный) >> X-files (Digisom)
Изображение не принадлежит шифровальщику
К зашифрованным файлам добавляются составные расширения, которые можно записать по шаблону:
<random> и <random>.x
[original_name.extension[3_random_chars]
[original_name.extension[3_random_chars].x
[original_filename.extension][A-Za-z0-9]{3}
[original_filename.extension][A-Za-z0-9]{3}.x
В самом первом примере, который попал в наше поле зрения использовались подрасширения b0C или b0C.x
Таким образом файлы DOC, JPG, PDF, ZIP меняли расширение на .pdfb0C
А файлы формата DOCX меняли расширение на .docxb0C.x
Во втором примере у всех зашифрованных файлов оказалось расширением b0C.x
1-й пример с b0C-расширением
2-й пример с b0C.x-расширением
Записки с требованием выкупа разбрасываются на рабочем столе в пронумерованном виде:
Digisom Readme0.txt
Digisom Readme1.txt
и так до Digisom Readme9.txt
Your important files were encrypted on this computer: photos, videos, documents, etc. You can verify this by opening them.
To save your files, you need a private key to decrypt it.
The single copy of private key, which will allow you to unlock the files, is located on a secret server on the internet; the server will destroy the key within 48 hours after encryption completed. After that, nobody are able to restore the files.
To retrieve the private key, you need to pay 0.2 bitcoins. Check out the website on how to make payment: xxxx://www.digisom.pw
YOUR UNIQUE ID TO FIND KEY: *****
Перевод записки на русский язык:
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Вы можете проверить это, открыв их.
Чтобы сохранить файлы, вам нужен закрытый ключ для расшифровки.
Единственный экземпляр секретного ключа, который позволит вам разблокировать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через 48 после завершения шифрования. После этого никто не сможет восстановить файлы.
Чтобы получить секретный ключ, вам нужно оплатить 0,2 Bitcoins. Проверьте веб-сайт о том, как произвести платеж: xxxx://www.digisom.pw
ВАШ УНИКАЛЬНЫЙ ID НАЙДЕННЫЙ КЛЮЧ: *****
При переходе по адресу, указанному в записке о выкупе, открывается сайт с мультиязычной поддержкой. При переключении языка можно найти также и русский. См. анимированное изображение, которое я сделал из скриншотов с этого сайта.
Дополнительной запиской с требованием выкупа выступает экран с таймером.
Содержание текста с экрана:
One File will be deleted in:
1 : 59 : 58
Don't try to close this program, your file will delete automatically!
Check your desktop for more information.
Перевод текста на русский язык:
Один файл будет удален через:
1 : 59 : 58
Не пытайтесь закрыть эту программу, файл удалится автоматически!
Проверьте ваш рабочий стол для информации.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивых PDF), кликбейта и кликджекинга, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
После первого запуска в автозагрузку добавляется скрипт для запуска файла шифровальщика
Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .jpeg, .pdf, .zip, .xls, .xlsx
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Satoshimines Balance Adder.exe
Digisom.exe
Firefox.exe_0x2e0000-0x18000.exe
Firefox.exe и firefox.vbs
<random>.exe
<random>.pdf.exe
<random>.tmp
%APPDATA%\firefox\Firefox.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firefox.vbs
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
digisom.pw (68.65.122.94:80 - США)
***goldenwordsoftheday.com/
***airbnb.es-farina.es/cat/listing/
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Гибридный анализ на вредоносный PDF >>
VirusTotal анализ на вредоносный PDF >>
Из результатов анализов оказалось, что это повторение вредоносных кампаний 2015 и 2016 годов, когда таким же образом использовались вредоносный файл <random>.pdf.exe . Только теперь используется другой шифровальщик.
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Read to links: Topic on BC + Topic ID Ransomware (ID as Digisom)
Added later Video review (add. February 17, 2017)
Thanks: @xXToffeeXx, Michael Gillespie Andrew Ivanov (author) *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.