RIP HT Ransomware
Phoenix HT Ransomware
(шифровальщик-вымогатель)
---
Обнаружения:
DrWeb -> Trojan.Encoder.10598
ALYac -> Trojan.Ransom.HiddenTear, Trojan.Ransom.HiddenTear.H
Avira (no cloud) -> HEUR/AGEN.1129952
BitDefender -> Trojan.Ransom.HiddenTear.H
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y
Malwarebytes -> Ransom.HiddenTear
Microsoft -> Ransom:MSIL/Ryzerlo.A
Symantec -> Ransom.HiddenTear!g1
Tencent -> Win32.Trojan.Generic.Akyr, Win32.Trojan.Generic.Plap
TrendMicro -> Ransom_CRYPTEAR.SM0, Ransom_HiddenTearPhoenix.A
---
© Генеалогия: HiddenTear >> RIP (Phoenix)
К зашифрованным файлам добавляется расширение .R.i.P
Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: Important!.txt
Содержание записки о выкупе:
All your files has been encrypted with a Strong AES-256 ciphers
Send 0.2 BTC to this address: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Once you make your payment send a message in this email address: dj.elton@hotmail.co.uk
Перевод записки на русский язык:
Все твои файлы были зашифрованы сильным AES-256 шифром
Пришли 0,2 BTC на адрес: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Как сделаешь свой платеж, пришли сообщение на этот email-адрес: dj.elton@hotmail.co.uk
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .cs, .csproj, .csv,
.doc, .docx, .html, .inf, .jpg, .k2p, .mdb,
.odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .vb, .vbproj, .xls,
.xlsx, .xml (26 расширений).
Это документы MS Office, базы данных, изображения, фотографии и пр. Файлы, связанные с этим Ransomware:
Important!.txt
hidden-tear.exe
<random>.exe
Windows 10 Free Update.exe
Сетевые подключения и связи:
хттп://www.elb-hosting.esy.es/phoenix_ran/write.php?info= (сайт, C2)
Email: dj.elton@hotmail.co.uk
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up
Thanks: Michael Gillespie, Lawrence Abrams Andrew Ivanov (article author)
© Amigo-A (Andrew Ivanov): All blog articles.