Если вы не видите здесь изображений, то используйте VPN.

понедельник, 3 апреля 2017 г.

AngryKite

AngryKite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует позвонить по телефону 1-855-455-6800 (в США), чтобы вернуть файлы. Оригинальное название: angryKite_v3. Фальш-копирайт: Microsoft 2016. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: KRider > AngryKite 

К зашифрованным файлам добавляется расширение .NumberDot
Зашифрованные файлы переименовываются случайными именами. Файлы могут быть дешифрованы. 
Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Запиской с требованием выкупа выступает экран блокировки "Warning":

Содержание текста о выкупе:
WARNING: SYSTEM MAY HAVE FOUND
anonymous encryption on your computer. You would not be able to access the files on your computer
Your System May have Found (2) Malicious Viruses Rootkit.Encypt & Trojan.Spyware
Your Personal & Fincancial information MAY NOT BE SAFE
Your system has encryption ransomware
which may permanently encrypt your data
Please call immediately to avoid further damage
Toll free 1-855-545-6800
Your UID
17347841

 Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ: СИСТЕМА ОБНАРУЖИЛА
анонимное шифрование на вашем компьютере. Вы не сможете открывать файлы на своем компьютере
Ваша система обнаружила (2) вредоносных вируса Rootkit.Encypt & Trojan.Spyware
Ваша личная и финансовая информация В ОПАСНОСТИ
Ваша система зашифрована ransomware
способный навсегда зашифровать ваши данные
Позвоните срочно, во избежание дальнейшего ущерба
Бесплатный звонок 1-855-545-6800
Your UID
17347841

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .c, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .log, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (166 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
angryKite_v3.exe
KRider.exe
StatLevel.exe

 Расположения: 
AppData\Roaming\QKYS\angryKite_v3.exe
AppData\Roaming\QKYS\KRider.exe

 Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

 Сетевые подключения и связи:
***xxxx://ourdareshare.club/***
***xxxx://databaseosfixissue7823.online/***
***xxxx://www.top5z.com/***
***xxxx://technobend.com/***
***xxxx://www.coastalenvironment.org/***
166.62.10.143:80 (США)
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Thyrex
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на

1 комментарий:

  1. Amigo A3 апреля 2017 г. в 21:08

    Спасибо. Добавил отчет. Но malwr вообще стал неинформативным, потому я его больше не добавляю.

    ОтветитьУдалить

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Подписаться на: Комментарии к сообщению (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *