Если вы не видите здесь изображений, то используйте VPN.

среда, 24 апреля 2019 г.

WannaOof

WannaOof Ransomware

Inconspicuous Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: в заголовке окна написано WannaOof. На файле написано: inconspicuous.exe

Обнаружения: 
BitDefender -> Trojan.GenericKD.31915800
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SK
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebhb

TrendMicro -> Trojan.MSIL.OOFCRYPTOR.AA.tmsr

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .oof

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOU HAVE BEEN OOF'ED!!!
Uh oh, you're in trouble now kiddo. You've been oof'ed.
All your precious files are encrypted with 256 bit encryption.
Send 0.02 bitcoin to the address displayed on the left within the next 24 hours or your files will be lost forever. Upon payment we will send you the decryption key.
Any attempt to modify, decrypt your files, or remove this program will result in your files being irretrievable.
We will definitely send you a decryption key upon payment being received, please cite the below as our promise of this:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Перевод записки на русский язык:
ВЫ БЫЛИ УВОЛЕНЫ!!!
О, у тебя неприятности, детка. Вы были уволены.
Все ваши драгоценные файлы зашифрованы с 256-битным шифрованием.
Отправьте 0.02 биткоин на адрес, указанный слева, в течение следующих 24 часов, иначе ваши файлы будут потеряны навсегда. После оплаты мы вышлем вам ключ расшифровки.
Любая попытка изменить, расшифровать ваши файлы или удалить эту программу приведет к тому, что ваши файлы станут невозвратными.
Мы обязательно вышлем вам ключ расшифровки после получения оплаты, пожалуйста, цитируйте ниже наше обещание как это:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Следующее изображение демонстрирует предыдущий текст из окна и "руку с поднятым средним пальцем", которую не видно в красном окне

Ещё одно сообщения от вымогателей. 
Текст с картинки:
You've been hit with the oof
Follow the instructions shown in the popup or your files will be lost forever.

Перевод на русский язык:
Вы попали на деньги
Следуйте инструкциям в поп-ап окне, иначе ваши файлы будут утрачены.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
inconspicuous.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *