Если вы не видите здесь изображений, то используйте VPN.

суббота, 17 февраля 2018 г.

Thanatos

Thanatos Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.01 BTC, чтобы вернуть файлы. Оригинальное название: Thanatos. На файле проекта написано: Thanatos.pdb.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .THANATOS

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt
Thanatos Ransomware

Содержание записки о выкупе:
Your computer is encrypted. All data will be lost if you do not pay 0.01 BTC to the specified BTC wallet
1DRAsxW4cKAD1BCS9m2dutduHi3FKqQnZF
after payment you will receive the decryption code from this mail
c-m58@mail.ru 

Перевод записки на русский язык:
Ваш компьютер зашифрован. Все данные пропадут, если вы не заплатите 0,01 BTC на BTC-кошелек 
1DRAsxw4cKAD1BCS9m2dutduHi3FKqQnZF
после оплаты вы получите код дешифрования из этой почты
c-m58@mail.ru



Технические детали

Подтверждены случаи распространения вредоноса с помощью вложения в сообщение чата Discord. Ссылка представлена ниже в разделе "Сетевые подключения и связи". 

Также может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ По данным исследователей, ключ шифрования нигде не сохраняется, потому даже сами вымогатели не смогут расшифровать файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
README.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 
c-m58@mail.ru
BTC: 1DRAsxw4cKAD1BCS9m2dutduHi3FKqQnZF
xxxxs://cdn.discordapp.com/attachments/230687913581477889/424941165339475968/fastleafdecay.exe***
xxxx://iplogger.com:80/1CUTM6
xxxx://iplogger.com:80/1t3i37
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 февраля 2018:
Представление: Версия 1.1
Пост в Твиттере >>
Расширение .THANATOS
Email: thanatos1.1@yandex.com
Сумма выкупа: 200$ в криптовалюте
BTC: 1HVEZ1jZ7BWgBYPxqCVWtKja3a9hsNa9Eh
ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f
Наверное это первый крипто-вымогатель, который принимает выкуп в криптовалюте Bitcoin Cash. 
Записи в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Microsoft Update System Web-Helper" = "C:\Windows\System32\notepad.exe %UserProfile%\Desktop\README.txt"
Результаты анализов: VT
Новая статья на BC >>

Еще один вариант записки:
Email: shadowbrokers@yandex.ru

Были также другие версии, которые не содержали контактной информации и, вероятно, предназначались для уничтожения данных на ПК.

Обновление от 20 февраля 2018:
Пост в Твиттере >>
Из исходного кода Thanatos Ransomware.


Обновление от 30 августа 2018:
Пост в Твиттере >>
Самоназвание: PICO Ransomware
Сумма выкупа: $100
BTC: 3QK9umWMV1nrn8nadZ9eGnJ76Bg4jiJLem
ETH: 0xBb171CC7113dbdc532C42D22928f6b6c56fBE242
Email: de.picocode@gmail.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать ThanatosDecryptor.exe для дешифровки >>
Статья, прилагающаяся к дешифровщику >> 
*
Предварительно установите по ссылке:
Распространяемый компонент Microsoft Visual C++ для Visual Studio 2017

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware (ID as Thanatos)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 S!Ri, Lawrence Abrams
 CyberSecurity GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *