WannaOof Ransomware
Inconspicuous Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: в заголовке окна написано WannaOof. На файле написано: inconspicuous.exe
Обнаружения:
BitDefender -> Trojan.GenericKD.31915800
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SK
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SK
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebhb
TrendMicro -> Trojan.MSIL.OOFCRYPTOR.AA.tmsr
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebhb
TrendMicro -> Trojan.MSIL.OOFCRYPTOR.AA.tmsr
К зашифрованным файлам добавляется расширение: .oof
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
YOU HAVE BEEN OOF'ED!!!
Uh oh, you're in trouble now kiddo. You've been oof'ed.
All your precious files are encrypted with 256 bit encryption.
Send 0.02 bitcoin to the address displayed on the left within the next 24 hours or your files will be lost forever. Upon payment we will send you the decryption key.
Any attempt to modify, decrypt your files, or remove this program will result in your files being irretrievable.
We will definitely send you a decryption key upon payment being received, please cite the below as our promise of this:
___________________ $$$$
___________________ $$$$
___________________ $$$$
Перевод записки на русский язык:
ВЫ БЫЛИ УВОЛЕНЫ!!!
О, у тебя неприятности, детка. Вы были уволены.
Все ваши драгоценные файлы зашифрованы с 256-битным шифрованием.
Отправьте 0.02 биткоин на адрес, указанный слева, в течение следующих 24 часов, иначе ваши файлы будут потеряны навсегда. После оплаты мы вышлем вам ключ расшифровки.
Любая попытка изменить, расшифровать ваши файлы или удалить эту программу приведет к тому, что ваши файлы станут невозвратными.
Мы обязательно вышлем вам ключ расшифровки после получения оплаты, пожалуйста, цитируйте ниже наше обещание как это:
___________________ $$$$
___________________ $$$$
___________________ $$$$
Следующее изображение демонстрирует предыдущий текст из окна и "руку с поднятым средним пальцем", которую не видно в красном окне:
Ещё одно сообщения от вымогателей.
Текст с картинки:
You've been hit with the oof
Follow the instructions shown in the popup or your files will be lost forever.
Перевод на русский язык:
Вы попали на деньги
Следуйте инструкциям в поп-ап окне, иначе ваши файлы будут утрачены.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
inconspicuous.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.