Mordor Ransomware
(шифровальщик-вымогатель, RaaS)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,08 BTC, чтобы вернуть файлы. Оригинальное название: Mordor. Другое, указанное на файле: Game SuperCow. Третье, указанное в заголовке веб-страницы сайта: Milene Ransomware. Четвёртое, тоже указанное на файле, как внутренне имя: NOTHERSPACE_USE.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: HiddenTear (modified for RaaS) >> Mordor Raas
К зашифрованным файлам добавляется расширение .mordor
Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.
Русский текст довольно безграмотен.
Записки с требованием выкупа называются: READ_ME.html
Все файлы зашифрованы!
Если тебе важны твои документы - перейди по ссылке. Там будет вся необходимая информация чтобы ты вернул свои файлы. Иначе ты на всегда потеряеш их ;-)
All data - encrypted!
If you need your documents - go to one of the links. There will be all the necessary information to return your files. Otherwise, you will always lose them ;-)
ID: 1
trustmordor.pw
Скриншоты с сайта trustmordor.pw
До ввода ID
После ввода ID
8 языков в другой версии
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_ME.html
NOTHERSPACE_USE.exe
Mordor.exe
<random>.exe
Расположения:
\Desktop\READ_ME.html
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
trustmordor.pw
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Обновление от 5 августа 2017:
Пост в Твиттере >>
Название: 3301 Ransomware
Генеалогия: Mordor > 3301
Tor-URL: xxxx://paymentrdbsp4ccs.onion/
Локализация: DEU, USA, JAP, ITA, CHN, INF, POR, FRA
Скриншот сайта >>
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up, Topic Video review by CyberSecurity (add. May 1. 2017)
Thanks: MalwareHunterTeam BleepingComputer GrujaRS *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.