Lomix Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $500, равный ~0,68 биткоина, чтобы вернуть файлы. Название оригинальное, вариант написания: LOMIX.
© Генеалогия: CryptoWire >> Lomix
К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension.
Таким образом файл Important.docx станет Important.encrypted.docx
Активность этого криптовымогателя пришлась на конец ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа могут называться: README.txt или иначе.
Информатором жертвы выступает экран блокировки "LOMIX".
Содержание записки о выкупе:
Your files has been safely encrypted
The only way you can recover your files is to buy a decryption key from lambing.watson@gail.com
The payment method is: Bitcoins. The price is: $500 = 0.68096697 Bitcoins
Click on the ‘Buy decryption key’ button.
Перевод записки на русский язык:
Ваши файлы были безопасно зашифрованы
Одним способом вы можете восстановить файлы, это купить ключ дешифрования у lambing.watson@gail.com
Способ оплаты: Bitcoins. Цена: $ 500 = 0.68096697 Bitcoins
Нажмите на кнопку 'Buy decryption key'.
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, тексты, веб-страницы, базы данных, фотографии, музыка, видео и пр.
Файлы, связанные с этим Ransomware:
lomix.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения и связи:
lambing.watson@gail.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - 3 марта 2017
Обновление CryptoWire - 5 апреля 2017
Обновление CryptoWire - 12 апреля 2017
Обновления CryptoWire позже не добавлялись
KingOuroboros - июнь 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
См. выше Историю семейства.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as CryptoWire) Write-up * *
Thanks: S!Ri Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.