GameOver Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project.GameOver.X. На файле написано: Project.GameOver.X.exe.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение: .gameover
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки с полноэкранным GUI.
Содержание текста о выкупе:
<GameOver Virus>
If you see this banner then all of your files on your harddisk have been encrypted with a very powerful algorithm.
WARNING!: THIS IS NOT SOME STUPID JOKES, EVERYTHING IS REAL ! !
You cannot restore your data by youself and especially decrypt it if you do so you can corrupt and destroy all of your data or even more, also if you try to delete the software your OS will be corrupted.
But if you want to retore at least your PC, you need to do this:
1: Reinstall windows or other OS on your computer
2: Get a better version of your antivirus or get a more powerful antivirus software.
If you want to get back your device do everything as it has been written.
<\GameOver Virus>
Перевод текста на русский язык:
<GameOver Virus>
Если вы видите этот баннер, то все ваши файлы на вашем жестком диске зашифрованы с очень мощным алгоритмом.
ПРЕДУПРЕЖДЕНИЕ! ЭТО НЕ КАКАЯ-ТО ТУПАЯ ШУТКА, ВСЕ РЕАЛЬНО! !
Вы не сможете сами восстановить свои данные и расшифровать их, если вы это сделаете, вы можете повредить и уничтожить все свои данные или даже больше, также если вы попытаетесь удалить программу, ваша ОС будет повреждена.
Но если вы хотите восстановить хотя бы ваш ПК, вам нужно сделать это:
1: Переустановить Windows или другую ОС на вашем компьютере
2: Получить лучшую версию своего антивируса или получите более мощную антивирусную программу.
Если вы хотите вернуть свое устройство, сделайте все, как было написано.
<\GameOver Virus>
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ В рассматриваемом примере файлы не были зашифрованы, т.к. не был установлен ключ шифрования. В реальности файлы будут зашифрованы.
➤ Также не было показано никаких контактных и платёжных данных.
Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .accdb, .aes, .ARC, .asc, .asf, .asm, .asx, .avi, .backup, .bak, .bat, .brd, .bundle, .c, .cgm, .cmd, .cpp, .crt, .cs, .csproj, .csr, .csv, .db, .dbf, .dch, .der, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotx, .dwg, .edb, .eml, .flv, .frm, .gif, .gpg, .gz, .htm, .html, .hwp, .Iay6, .ibd, .iso, .jar, .jpeg, .jpg, .js, .jse, .key, .lay, .lbd, .log, .m2ts, .max, .mdf, .mdp, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .ocx, .odg, .odp, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ott, .PAQ, .pas, .pdf, .pern, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pst, .pub, .py, .pyc, .pyd, .pyo, .rar, .raw, .rm, .rpa, .sb2, .sch, .sh, .sin, .sldm, .sldx, .slk, .snt, .sql, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar, .tbk, .tiff, .txt, .uop, .uot, .vb, .vbe, .vbproj, .vbs, .vcd, .vdi, .vdmk, .vmx, .vob, .vsd, .vsdx, .wks, .wma, .wncry, .wrav, .xdata, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (173 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Project.GameOver.X.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as ) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.