среда, 22 марта 2017 г.

Meteoritan

Meteoritan Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сколько заплатить и как вернуть файлы. Оригинальное название. Разработчик: windo из Польши. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Meteoritan > Locker-Pay

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
Различаются по названию, но имеют идентичное содержание. 

 

Содержание записок о выкупе:
ATTENTION! ATTENTION! You have been victim of METEORITAN RAMSOMWARE!
Your documents, photos, databases and other important files have been encrypted by RSA-4096 alghorythm generated by your computer, if you want to restore your files, you must get a decryption key.
How can I get decrypt key?
1. Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file, open in Notepad.
2. Get Bitcoins. Bitcoin is a cryptovalute, which can pay. Use these sites: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. In e-mail turning, we get a value of your key. Pay it.
4. In 24 hours you get an decrypt key. If you don't see e-mail, check spam catalogue.
5. Run aplication and enter your key.
METEORITAN RAMSOMWARE

Перевод записок на русский язык:
ВНИМАНИЕ! ВНИМАНИЕ! Вы стали жертвой METEORITAN RAMSOMWARE!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с алгоритмом RSA-4096, созданным вашим компьютером, если хотите вернуть ваши файлы, вы должны получить ключ дешифрования.
Как получить ключ дешифрования?
1. Отправить E-Mail на meteoritan6570@yandex.ru с вашим ID. Ваш ID находится в файле METEORITAN.POLAND, откройте в Блокноте.
2. Получить биткоины. Bitcoin - это криптовалюта, которой можно платить. С помощью этих сайтов: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. В email мы получаем значение ключа. Заплатите за это.
4. В 24 часа вы получите ключ дешифрования. Если вы не видите email, проверьте папку Спам.
5. Запустите и введите ваш ключ.
METEORITAN RAMSOMWARE

Записки с требованием выкупа дополняются двумя файлами METEORITAN.POLAND и METEORITAN.RAMSOM. Первый содержит ID, а второй - ключ дешифрования. 

Крипто-вымогатель еще запускает выступает экран, имитирующий административное извещение (красные буквы на чёрном фоне). 
 

Содержание главным образом повторяет текстовые записки, но содержит интересную фразу:
Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file. Open in Notepad.

Перевод на русский:
Отправьте email на 
meteoritan6570@yandex.ru с вашим ID. Ваш ID в файле METEORITAN.POLAND. Открыть в Блокноте. 

Текстовая записка и это извещение запускаются командой:
%WINDIR%\system32\cmd.exe /c start where_are_your_files.txt
%WINDIR%\system32\cmd.exe /c title METEORITAN RAMSOMWARE - YOUR FILES HAVE BEEN ENCRYPTED!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ramsomware.exe
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
METEORITAN.POLAND -  файл содержит ID;
METEORITAN.RAMSOM - файл содержит ключ дешифрования. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
GLOBAL__sub_I_locale_inst.cc
GLOBAL__sub_I_wlocale_inst.cc
yandex.ru
bad_alloc.cc
bad_array_length.cc
bad_array_new.cc
bad_cast.cc
bad_typeid.cc
basic_file.cc
c++locale.cc
class_type_info.cc
codecvt.cc
codecvt_members.cc
coinbase.com, btc.com, bitgo.com, strongcoin.com
collate_members.cc

compatibility.cc
и другие, см. ниже результаты анализов.
Email: meteoritan6570@yandex.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Meteoritan)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *