InfinityLock Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.17 BTC, чтобы вернуть файлы. Оригинальное название: InfinityLock. На файле написано: PremiereCrack.
© Генеалогия: выясняется.
Ко всем зашифрованным файлам добавляется одинаковое случайное расширение, которое берется из HWID компьютера.
Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: INFINITYLOCK_UNIQEID.TXT
Другим информатором жертвы выступает изображение, встающее обоями рабочего стола. Текст на фоне плохо читается. Но после моей обработки изображения текст стал доступен.
Содержание текста о выкупе:
YOU BECAME A VICTIM Of THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
Перевод текста на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ INFINITYLOCK RANSOMWARE!
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С RSA 2048
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Выдаёт себя за крак для ПО Adobe Premiere. Отсюда название PremiereCrack.exe
Это Ransomware дешифруем и в плане шифрования не является инновационным, но экран блокировки, который он отображает для своих жертв, более интересен. Вместо того, чтобы показывать обычный статический экран блокировки или записку о выкупе, InfinityLock отображает на экране фальшивую командную строку Windows, демонстрирующую ввод команды хакера для шифрования компьютера и текст вымогателя. У жертвы может возникнуть паника и желания остановить работу шифровальщика его закрытием, но это не поможет.
На самом деле когда InfinityLock запускается, он сразу начинает шифровать файлы, добавляя к ним расширение, основанное на HWID жертвы процессора. И только по окончании шифрование файлов он отображает экран блокировки, имитирующий поддельную командную строку Windows. Это можно увидеть по ссылке на видео-ролик в блоке ссылок.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
INFINITYLOCK_UNIQEID.TXT
PremiereCrack.exe
UI.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке >>
Read to links: Tweet on Twitter ID Ransomware (ID as InfinityLock) Write-up, Topic of Support Video review
Thanks: Leo Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
Занятная зверюшка.
ОтветитьУдалить