UselessDisk, DiskWriter

UselessDisk Ransomware

DiskWriter Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем перезагружает систему и требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: UselessDisk. На файле написано: UselessDisk.exe

© Генеалогия: UselessDisk > UselessFiles

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops,your important files are encrypted. 
If you see this text,then your files are not accessible,because they've been encrypted.Maybe you're busy looking for a way to recover your files,but don't waste your time.Nobody can recover your files without our decryption service. 
In order to decrypt.Please Send $300 worth of Bitcoin to this address: 
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Для того, чтобы дешифровать. Пожалуйста, отправьте биткоины на сумму $300 на этот адрес:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ После запуска на ПК заменяет MBR своим собственным загрузчиком. Затем делает принудительную перезагрузку системы с помощью команды: shutdown.exe shutdown -r -t 0
После перезагрузки демонстрирует экран с требованиями выкупа — красный текст на чёрном фоне. 

➤ Вероятно, также намеренно повреждает MFT или таблицу разделов, чтобы не допустить использование файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UselessDisk.exe
DiskWriter.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
MBR ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UselessDisk)
 Write-up, Topic of Support
 * 

 Thanks: 
 Dmitry Melikov, Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private