PlayBoy Ransomware
PlayBoy Locker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---
© Генеалогия: родство выясняется >>
Обнаружения:
DrWeb -> Trojan.Encoder.41208
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.PlayBoy
Microsoft -> Ransom:Win32/Plboy.YAA!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Malware.Win32.Gencirc.10c0625d
TrendMicro -> Ransom.Win32.PLYBOY.THJBHBD
---
© Генеалогия: родство выясняется >>
Активность этого крипто-вымогателя была в конце октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .PLBOY
Записка с требованием выкупа называется: INSTRUCTIONS.txt
Содержание записки о выкупе:
Заменяет обои Рабочего стола собственным изображением с небольшим текстом.
Записка с требованием выкупа называется: INSTRUCTIONS.txt
Содержание записки о выкупе:
PlayBoy LOCKER
Hi!
Your files have been stolen and encrypted. We are ready to publish your stolen data on our blog
You can buy our decrypt service, to decrypt your files and avoid data leakage.
We are waiting for you here!
URL: ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion/***
Login Password ***
Заменяет обои Рабочего стола собственным изображением с небольшим текстом.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
INSTRUCTIONS.txt - название файла с требованием выкупа;
e_win_2ba742c2c8309d404eec1844b9d7b2ac.exe - название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxx://ovcbyl77wplz67mdcilq6yq67eg56milg3xjehoiklbxrs4mondbklyd.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: f33eb2cc612e2c0d369f0d444617f48e
SHA-1: bdeb8e2e680e842fe5cd8459e293fa409f9b1297
SHA-256: 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b
Vhash: 045056655d1515616za00881z201bz2011z3fz
Imphash: 1a0077923e0fb734384e59114b8265a3
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: S!Ri, PCrisk Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.