вторник, 18 июля 2017 г.

Naampa

Naampa Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название проекта: naampa. На файле написано: naampa.exe и mmspert.exe. Написан на языке C#. Фактически является новой итерацией Unlock92, что и отражено в Генеалогии ниже. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Unlock92 >> UnlckrNaampa

К зашифрованным файлам добавляется расширение .crptd

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !----README----!.jpg

Содержание записки о выкупе (original):
Ваши файлы зашифрованы с использованием алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл key.res на e-mail:
unlckr@protonmail.com
Если вы не получили ответа в течение суток или письмо возвращается с ошибкой то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт
xxxx://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Перевод записки на английский язык (Google translator):
Your files are encrypted using the RSA-2048 algorithm.
If you want to return them, send one of the encrypted files and key.res file to e-mail:
unlckr@protonmail.com
If you do not receive a reply within 24 hours or the letter is returned with an error, then download from the site www.torproject.com browser TOR and with his help go to the site
xxxx://n3r2kuzhw2h7x6j5.onion - there will be specified a valid mailbox.
Attempts to repair files yourself can irrevocably ruin them!


Текущий email для связи

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии командой:
Delete Shadows /All /Quiet

Не дешифруем. Генерирует ключ RSA-2048, использует открытый ключ для прямого шифрования файлов. Закрытый ключ затем шифруется статическим открытым ключом RSA-2048, встроенным во вредонос и сохраняется в файле key.res

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
naampa.exe (mmspert.exe)
!----README----!.jpg
key.res
PH02466U.BMP
PH01562U.BMP

Расположения:
%USERPROFILE%\Documents\!----README----!.jpg
%USERPROFILE%\Documents\key.res

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://schemas.openxmlformats.org/drawingml/2006/main
xxxx://n3r2kuzhw2h7x6j5.onion
Email: unlckr@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *