Pr0tector Ransomware
Sorebrect Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .pr0tect
Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Сначала распространялся в ближневосточных странах (Кувейт, Ливан). Но к началу мая уже был в Канаде, Китае, Тайване, Японии, Хорватии, Италии, Мексике, России, США.
Записки с требованием выкупа называются: READ ME ABOUT DECRYPTION.txt
Содержание записки о выкупе:
Your files were encrypted.
Your personal ID is: PCHOSTNAME#601E1*****470
To buy private key for unlocking files please contact us:
pr0tector@india.com
pr0tector@tutanota.com
Please include the ID above.
Перевод записки на русский язык:
Ваши файлы зашифрованы.
Ваш личный ID: PCHOSTNAME # 601E1*****470
Чтобы купить закрытый ключ для разблока файлов, напишите нам:
pr0tector@india.com
pr0tector@tutanota.com
Включите ID, что выше.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Использует возможности легитимной утилиты PsExec, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Он активно развертывает PsExec и выполняет инъекцию кода. Потом инжектирует свой код в системный процесс svchost.exe, чтобы далее легитимно шифровать файлы.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ ME ABOUT DECRYPTION.txt
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
pr0tector@india.com
pr0tector@tutanota.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Pr0tector) Write-up by TrendMicro, Topic *
Thanks: Michael Gillespie Buddy Tancio (TrendMicro) * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.