Если вы не видите здесь изображений, то используйте VPN.

четверг, 12 июля 2018 г.

XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *