пятница, 9 июня 2017 г.

Spectre

Spectre Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название. На файле написано: systemlog.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .spectre
Файлы переименовываются с использованием Base64.

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToDecryptIMPORTANT!.txt

Содержание записки о выкупе:
IMPORTANT INFORMATION!
All your files are encrypted by encryption algorithm AES-256, you can't decrypt your files without a key.
If you want to decrypt your files you should pay 200$.
To decrypt your files go to xxxx://a0142503.xspn.ru/login.php 
your ID: ***

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Все ваши файлы зашифрованы алгоритмом AES-256, вы не сможете расшифровывать файлы без ключа.
Если хотите расшифровать файлы, вы должны заплатить 200$.
Для расшифровки файлов, идите на xxxx://a0142503.xspn.ru/login.php 
ваш ID: ***

Скриншот указанного выше сайта до ввода ID

Скриншот того же сайта с сообщением
Другие страницы сайта

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются. Контактирует с удаленным C2-сервером. После шифрования на удалённый сервер отправляется информация о количестве зашифрованных файлов. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .gif, .jpeg, .jpg, .mpeg, .pdf, .png, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wav, .wmv, .xls, .xlsx, .zip (21 расширение). 
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
systemlog.exe
HowToDecryptIMPORTANT!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://a0142503.xsph.ru*** (141.8.195.157:80)
***xxxx://a0142503.xsph.ru/systemlog.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spectre)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *