пятница, 23 февраля 2018 г.

Mobef-Salam

Mobef-Salam Ransomware

maktoob786 haraam

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы узнать, как вернуть файлы и заплатить выкуп в биткоинах. Оригинальное название: не указано. На файле может быть написано, что угодно. Вымогатели скрываются под именем: Abu Backer. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Mobef >> Mobef-Salam

К зашифрованным файлам никакое новое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие, главным образом, из Италии. 

Записка с требованием выкупа называется: READ.4YOU
К ней добавляется специальный текстовый файл с ключом: Bismillah.KEI
Другим информатором жертвы выступает изображение, встающее обоями Рабочего стола. 

Содержание записки о выкупе:
APPID: 2xxxxx
COMPUTER: COMP
LOGIN: admin
*******
salam. haha sorry i kript ur filez. they safe, so no needs w0rring. but u cant break my l33t cipher, if u wanna back filez email me quick 0k? you pay me bitcoins...
maktoob786@takfir24.net
byezzzzz
c:\windows\2xxxxx.log

Перевод записки на русский язык:
APPID: 2xxxxx
COMPUTER: COMP
LOGIN: admin
*******
Салям. Хаха жаль, я зашифровал файлы. они безопасны, так что не паникуйте. нельзя сломать мой шифр l33t, если хотите вернуть файл email мне быстро ок? вы платите мне биткоины ...
maktoob786@takfir24.net
байззззз
c:\windows\2xxxxx.log


Содержание файла Bismillah.KEI :
AE26A372*****19508AEDE1

Эти 1024_знака - это ключ в шаблоне [09_A-Z] - цифры, буквы.




Технические детали

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .img, .pdf, .rar, .txt и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
result.exe - исполняемый файл вымогателя
<random>.exe - файл со случайным названием
READ.4YOU - записка о выкупе
Bismillah.KEI - файл с ключом
2xxxxx.log - журнал с именами зашифрованных файлов
<image> - изображение, заменяющее обои

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: mutaween.sa
Email: maktoob786@takfir24.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



Обновление от 16 марта 2018:

Топик на форуме >>
Новое расширение не добавляется. 
Пострадавшие в Италии. 
Email: haraam@takfir24.net, haraam@alayam24.net
Файлы: G0D.KEI, OPEN.ME1, 4883xxx.log
<< Скриншот содержания файлов
Содержание файла G0D.KEI :
***1024_знака*** - ключ в шаблоне [09_A-Z] - цифры, буквы
Содержание файла OPEN.ME1 :
APPID:4xxxxxx
COMPUTER:MYCOMP
LOGIN:administrator
*******
pay me bitcoins to get files back
haraam@takfir24.net, or
haraam@alayam24.net
C:\Windows\4xxxxxx.log
Адреса в записках фиктивные.
URL takfir24.net перенаправляет на www.alhilalalyoum.com (на арабском, Египет)
URL alayam24.net перенаправляет на www.alayam24.com (на арабском, Марокко)






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Mobef)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton