Если вы не видите здесь изображений, то используйте VPN.

четверг, 16 ноября 2017 г.

WannaSmile

WannaSmile Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные предприятий и организаций с помощью AES/RSA, а затем требует выкуп в 20 BTC, чтобы вернуть файлы. Оригинальное рабочее название проекта: MyEncrypter2Mod3Window_V1.1 и MyEncrypter2. На файле написано: WannaSmile.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: ZCrypt >> WannaSmile

К зашифрованным файлам добавляется расширение .WSmile

Активность этого крипто-вымогателя пришлась на середину  ноября 2017 г. Ориентирован на предприятия и организации Ирана, ираноязычных пользователей, что не мешает распространять его по всему миру. 

 Записка с требованием выкупа называется: How to decrypt files.html

 Содержание записки о выкупе (реконструкция текста от автора блога):
WARNING!
سیستم شما به ویروس و باج افزارWannaSmile آلوده شده است؛ تمامی فایل های مهم شما از جمله دیتابیس ها
فایل های بک آپ و ... توسط الگوریتم های پیچیده رمزنگاری شده است؛
بنابراین شما امکان دسترسی به فایل ها را نخواهید داشت زیرا الگوریتم رمزنگاری مورد نظر تنها توسط ما قابل رمزگشایی
درصورتیکه طی مدت حداکثر 5 روز پس از آلوده شدن مبلغ مورد نظر به حساب بیت کوین ما واریز نشود، روزانه مبلغ 1 بیت کوین به مبلغ اصلی (20 بیت کوین) اضافه میگردد.
تو ی باشد. شما می بایست برای رمزگشایی فایلهای خود مبلغ 20 بیت کوین را به آدرس زیر ارسال کنید:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
و به محض پرداخت موفقیت آ 05;یز بیت کوین حتما از طریق ایمیل wannasmile@tuta.io به ما اعلام کنید تا یک فایل برای شما ارسال گردد که توسط آن می توانید کل فایل ها و سیستم های آلوده را به حالت اولیه باز گردانید.
 جهت خرید بیت کوین می توانید از طریق یکی از صرافی های زیر اقدام نمایید
www.exchanging ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

 Дословный перевод записки на русский язык сделан автором блога:
WARNING! 
Ваша система заражена вирусом WannaSmile Ransomware, все ваши важные файлы, включая базы данных и резервные копии зашифрованы сложными алгоритмами шифрования, поэтому вы не сможете получить доступ к файлам, только мы можем расшифровать.
В случае, если мы не получаем плату на наш биткоин-кошелек максимум за 5 дней после заражения, то ежедневно к первоначальной сумме (20 биткоин) будет добавляться по 1 биткоину.
Вы должны заплатить сумму в 20 биткоинов, чтобы расшифровать ваши файлы, по следующему адресу:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
И как только вы заплатите, не забудьте отправить нам письмо по адресу wannasmile@tuta.io, чтобы мы отправили вам файл, с котором вы сможете восстановить все файлы и зараженные системы в исходное состояние. 
Вы можете купить биткоины на одном из следующих обменников валюты:
www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com
Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html
WannaSmile.exe или client.exe
WannaSmile.lnk

 Расположения:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt files.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WannaSmile.lnk
%APPDATA%\WannaSmile.exe
%APPDATA%\public.key

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: wannasmile@tuta.io
BTC: 1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
URL: www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaSmile)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *