CryptoMeister Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC), а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Оригинальное название из проекта: CryptoMeister, другое: Ransom Meister. Разработчик: Raphael.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение *нет данных*.
Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на французскоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки с заголовком Vérrouillé.
Содержание записки о выкупе:
Vérrouillé
Votre ordinateur à été verrouillé
Tous vos fichiers ont été cryptés. Pour récupérer l'accès à votre PC, vous devez envoyer 0.1 bitcoin à l'adresse ci-dessous
loading
Etape 1 : Allez sur xxxxs://wvw.coinbase.com/siqnup
Etape 2: Créez un compte et suivez les instructions
Etape 3 : Allez dans la section "Acheter des bitcoins" puis achetez bitcoin
Etape 4: Allez dans la partie "Envoyer", entrez l'adresse indiquée ci dessus et le montant (0.1 bitcoin)
Etape 5: Cliquez sur le bouton ci-dessous des que dest fait, vos fichiers seront décryptés et le virus disparaitra
'Vérifier'
Si vous tentez de contourner le verrouillage, tous les fichiers seront publiés sur internet ainsi que vos identifiants pour tous les sites.
Перевод записки на русский язык:
Заблокировано
Ваш компьютер был заблокирован
Все ваши файлы зашифрованы. Чтобы получить доступ к вашему ПК, вам надо отправить на 0,1 Bitcoin на адрес ниже
загрузка
Шаг 1: Перейти на xxxxs://wvw.coinbase.com/siqnup
Шаг 2: Создать учетную запись и следовать инструкциям
Шаг 3: Зайти в раздел "Купить Bitcoins", а затем купить Bitcoin
Шаг 4: Зайти в раздел "Отправить", ввести адрес, указанный выше и сумму (0,1 Bitcoin)
Шаг 5: Нажать на кнопку ниже, что проверить оплату, ваши файлы будут расшифрованы и вирус исчезнет
'Проверить'
При попытке обойти блокировку, все файлы будут опубликованы в Интернете, а также ваш логин для всех сайтов.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Технические детали
Прописывается в AppData под именем rnsm.exe.
Новое расширение получает со своего C&C-сервера.
Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, без разбора.
Это, конечно же, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
rnsm.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic *
Thanks: S! Ri BleepingComputer * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.