Если вы не видите здесь изображений, то используйте VPN.

понедельник, 16 октября 2017 г.

Tyrant

Tyrant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $15, чтобы вернуть файлы. Оригинальное название: Tyrant и Crypto Tyrant. На файле написано: DUMB.exe. На уплату выкупа даётся 24 часа. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DUMB > Tyrant

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Текст на персидском языке. Вероятно ориентирован на иранских пользователей, потому имеет узконаправленное распространение. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
С распознаванием арабского текста есть трудности. 
Проще было бы иметь текстовую записку о выкупе. 

Краткий перевод записки на русский язык:
Ваши файлы зашифрованы. У вас есть 24 часа на уплату выкупа в $15 долларов. Дальнейшая сумма выкупа будет зависеть от срока, прошедшего после 24 часов... 
Дешифровщик файлов будет отправлен вам после получения оплаты. Если у вас возникнут вопросы, то свяжитесь с нами по email, мы ответим вам... 
Хвала Аллаху и в будущей жизни!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Злоумышленники распространили крипто-вымогатель Tyrant по видом программы Psiphon VPN и теперь пытаются вымогать у пострадавших пользователей деньги за дешифровку. Иранский CERTCC сообщил о множественных случаев взлома через незащищенную конфигурацию RDP.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rastakhiz@protonmail.com

@TtypeRns (в Telegram)
exchanging.ir
webmoney724.ir
webmoneybuy.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Через несколько дней после моей публикации CERTCC Ирана опубликовал предупреждение на своей официальной странице
Email: rastakhiz@protonmail.com
@TtypeRns (в Telegram)
exchanging.ir
webmoney724.ir
webmoneybuy.com



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *
Added later:
Write-up on BC. Добавлено 26 октября 2017. 
Write-up
*
 Thanks: 
 Karsten Hahn
 Callisto x
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *