FlatChestWare Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: FlatChestWare. На файле написано: FlatChestWare.exe. Фальш-копирайт: Microsoft. Среда разработки: Visual Studio 2015.
© Генеалогия: HiddenTear >> FlatChestWare
К зашифрованным файлам добавляется расширение .flat
Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Есть ли текстовая записка с требованием выкупа, пока неясно.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Your personal files have been encrypted, these files being photos, videos, downloads, documents, and many other files. Please do not attempt to remove this program, any attempt to remove it could cause you to be unable to recover your personal files. Only our service can decrypt your files, so disable your anti-virus and make no attempt to tamper with anything we have done.
Oh and dont feel bad for clicking 'Restart Now' we were already encrypting your files as soon as the application launched.
Click the [HELP] button below if you wish to recover your files.
Bitcoin Address:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB
Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, это файлы фото, видео, загрузки, документы и многие другие файлы. Не пытайтесь удалить эту программу, любая попытка ее удаления может привести к невозможности восстановить ваши личные файлы. Только наша служба может расшифровать ваши файлы, поэтому отключите антивирус и не пытайтесь вмешиваться в что-либо, что мы сделали.
О, и не чувствуйте себя плохо, когда вы нажимаете "Restart Now", мы уже зашифровали ваши файлы сразу после запуска приложения.
Нажмите кнопку [HELP] ниже, если вы хотите восстановить файлы.
Биткоин-адрес:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Имитирует обновление Windows.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 1PFms6LMmamjPE3VCFB83Yfa5TaoDdsjrB
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn * * *
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.