CryptolockerEmulator Ransomware
(шифровальщик-вымогатель)
Этот эмулятор шифровальщика-вымогателя шифрует данные с помощью RSA. Работает, видимо, как тестовое ПО, выбрав папку и подготовленные файлы. Оригинальное название: CryptolockerEmulator. На файле написано: CryptolockerEmulator.exe. Среда разработки: Visual Studio 2015. Разработчик: asedunov (А. Седунов).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение *нет данных*.
Образец этого крипто-вымогателя был обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: *нет данных*.
Инструкция по шифрованию:
Enter CRYPTO to crypt directory C:\Users\User\Desktop
Press any key to exit...
Перевод на русский язык:
Введи CRYPTO для шифрования директории C::\Users\User\Desktop
Нажми любую клавишу для выхода...
Шифруются только указанные типы файлов и только в текущей папке (см. список ниже).
При тестовом запуске, к сожалению, а может и к счастью, шифрование не сработало.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, которые должны быть зашифрованы:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, файлы прикладных программ, сертификаты и пр.
Файлы, связанные с этим Ransomware:
CryptolockerEmulator.exe
<random>.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
RSA-ключ:
Результаты анализов:
Ⓥ VirusBuy анализ >>
Гибридный анализ образца 37b*** >>
Гибридный анализ образца 3c3*** >>
VirusTotal анализ образца 3c3*** >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
© Amigo-A (Andrew Ivanov): All blog articles.
При тестовом запуске, к сожалению, а может и к счастью, шифрование не сработало.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, которые должны быть зашифрованы:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, файлы прикладных программ, сертификаты и пр.
Файлы, связанные с этим Ransomware:
CryptolockerEmulator.exe
<random>.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
RSA-ключ:
Ⓥ VirusBuy анализ >>
Гибридный анализ образца 37b*** >>
Гибридный анализ образца 3c3*** >>
VirusTotal анализ образца 3c3*** >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: S!ri GrujaRS * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.