Spectre Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название. На файле написано: systemlog.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику
К зашифрованным файлам добавляется расширение .spectre
Файлы переименовываются с использованием Base64.
Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HowToDecryptIMPORTANT!.txt
Содержание записки о выкупе:
IMPORTANT INFORMATION!
All your files are encrypted by encryption algorithm AES-256, you can't decrypt your files without a key.
If you want to decrypt your files you should pay 200$.
To decrypt your files go to xxxx://a0142503.xspn.ru/login.php
your ID: ***
Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Все ваши файлы зашифрованы алгоритмом AES-256, вы не сможете расшифровывать файлы без ключа.
Если хотите расшифровать файлы, вы должны заплатить 200$.
Для расшифровки файлов, идите на xxxx://a0142503.xspn.ru/login.php
ваш ID: ***
Скриншот указанного выше сайта до ввода ID
Скриншот того же сайта с сообщением
Другие страницы сайта
Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Теневые копии файлов удаляются. Контактирует с удаленным C2-сервером. После шифрования на удалённый сервер отправляется информация о количестве зашифрованных файлов.
Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .gif, .jpeg, .jpg,
.mpeg, .pdf, .png, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wav, .wmv, .xls, .xlsx,
.zip (21 расширение).
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр. Файлы, связанные с этим Ransomware:
systemlog.exe
HowToDecryptIMPORTANT!.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***xxxx://a0142503.xsph.ru*** (141.8.195.157:80)
***xxxx://a0142503.xsph.ru/systemlog.exe***
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Spectre) Write-up, Topic of Support Video review
Thanks: MalwareHunterTeam Michael Gillespie Lawrence Abrams GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.