DeathNote Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES из WinRar, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Death Note (Death-Note). На файле написано: hit.exe или что-то иное. Название проекта: SilentCMD.pdb.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам никакое расширение не добавляется.
Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает диалоговое окно с текстом (note.vbs).
Содержание текста о выкупе:
Death Note encrypted your files... go to hitler.uphero.com and get unlock password for after attack, and unlock files.. Your files are safe if you pay
Death note have no mercy on YOU
Перевод текста на русский язык:
Death Note зашифровал ваши файлы ... идите на hitler.uphero.com и получите пароль разблокировки после атаки и разблокируйте файлы. Ваши файлы безопасны, если вы платите
Death Note не пощадит ВАС
В другом (WARNING.vbs) запрограммирован следующий текст:
"Death NOte gives you a chance. Death NOte will restart and if you exit again.. you are gone",0=0,"Death note HAD A MERCY ON YOU"
Вероятно, он должен воспроизводиться звуковым файлом с помощью команды:
start cmd /k %appdata%\hitler\mp3play.exe %appdata%\hitler\bg.mp3
Также запрограммировано окно командной строки, в которое нужно ввести ключ (код) разблокировки.
Содержание текста о выкупе:
DEATH-NOTE
=== INSTRUCTION TO GET KEY /===
1> Goto heatler.uphero.com and complete the payment or you can get it by contacting cocbkup@gmail.com email option may take long process.. If you want your data back complete payment now or close pc complete payment then only turn it on Else you will need to pay 2x of charge
***
Перевод текста на русский язык:
DEATH-NOTE
=== ИНСТРУКЦИЯ ПОЛУЧИТЬ КЛЮЧ /===
1> Идите на сайт heatler.uphero.com и сделайте оплату или вы можете сделать это контактируя по email cocbkup@gmail.com, процесс может идти дольше. Если хотите вернуть ваши данные, сделайте оплату сейчас или выключите ПК, а затем включите его. Только потом вам нужно будет заплатить в 2 раза больше.
***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Управляется файлами с расширениями .vbs и .bat в папке "hitler". Использует AES-шифрование из WinRar. Создаёт много процессов.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
\afolder\
\batches\
\hitler\
\hitler\regen\
\ytmp\
windows defender.bat
note.vbs
WARNING.vbs
deathnote.bat
deathnote.exe
timemon.exe
bg.mp3
mp3play.exe
Rar.exe
и другие
Расположения:
\Temp\ ->
\Desktop\ ->
\User_folders\ ->
\Temp\afolder\
\Temp\afolder\windows defender.bat
\Temp\afolder\Rar.exe
\Temp\afolder\death.bat
\Temp\afolder\cmdc.exe
%AppData%\hitler\note.vbs
%AppData%\hitler\deathnote.bat
\hitler\processmon.exe
\hitler\wget.exe
\hitler\Rar.exe
\hitler\regen\DeathNote.exe
\hitler\regen\New Folder.exe
\hitler\WARNING.vbs
\hitler\bg.mp3
\hitler\mp3play.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://hitler.uphero.com
xxxx://files.000webhost.com/public_html/hitler.exe***
xxxxs://www.stephan-brenner.com"
xxxx://upx.tsx.org"
Email: cocbkup@gmail.com
См. ниже результаты анализов.
Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
ANY.RUN анализ и обзор >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn ANY.RUN * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.