Instalador, QwertyCrypt

Instalador Ransomware

QwertyCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Instalador. Название проекта: Instalador.pdb. На файле написано: Instalador.exe. Разработчик: Rodolfo / Team Anonymous Brazil.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Instalador (QwertyCrypt)

К зашифрованным файлам добавляется расширение .qwerty

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на португалооязычных и бразильских пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком Aguarde..., которому предшествует экран с просьбой подождать. В это время файлы шифруются. 

Содержание записки о выкупе:
ATENÇÃO! Todos os seus arquivos foram seqüestrados!
O que aconteceu com o meu computador?
Seu computador sofreu um seqüestro de dados, os seus arquivos importantes (documentos, planilhas, videos. anotações e etc), estão agora protegido com uma criptografia altamente complexa e segura.
Você não poderá mais acessar os seus arquivos!
Como faço para desbloquear?
Você deverá pagar a quantia de 0.05000000 Bitcoin para o endereço 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
Depois de pago iremos enviar a sua senha e você poderá desbloquear rapidamente seus arquivos!
Como entrar em contato?
Através do nosso telegram iremos enviar a senha do seu computador!
Telegram: http://t.me/@rodolfoanubis
Muito obrigado aguardamos o contato!

Перевод записки на русский язык:
ВНИМАНИЕ! Все ваши файлы были захвачены!
Что случилось с моим компьютером?
Ваш компьютер взломан, ваши важные файлы (документы, таблицы, видео, заметки и т.д.), теперь защищены очень сложным и безопасным шифрованием.
Вы больше не сможете получить доступ к своим файлам!
Как разблокировать?
Вы должны заплатить сумму в 0.05000000 биткоина на адресу 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
После оплаты мы пришлём ваш пароль, и вы сможете быстро разблокировать свои файлы!
Как связаться?
Через наш Telegram мы отправим пароль вашего компьютера!
Telegram: http://t.me/@rodolfoanubis
Большое спасибо за контакт!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instalador.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: http://t.me/@rodolfoanubis
BTC: 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Hidden Tear Decrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QwertyCrypt)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo, GrujaRS
 GrujaRS
 Michael Gillespie
 Andrew Ivanov
* 

© Amigo-A (Andrew Ivanov): All blog articles.

InsaneCrypt

InsaneCrypt Ransomware

desuCrypt, DeusCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Название проекта: desuCrypt.pdb. Среда разработки: Visual Studio 2008. Статус: Файлы можно дешифровать!

© Генеалогия: desuCrypt (пробная версия) > InsaneCrypt

К зашифрованным файлам добавляется расширение .insane
Фактически используется составное расширение .[insane@airmail.cc].insane

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_decrypt_files.txt

Содержание записки о выкупе:
Hello!
If you want restore your files write on email - insane@airmail.cc

Перевод записки на русский язык:
Привет!
Если хотите вернуть свои файлы, пишите на email - insane@airmail.cc

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется встроенный открытый ключ RSA-2048 для шифрования ключа для каждого файла.

Выполняет деструктивные команды:
cmd.exe / c vssadmin delete shadows / all / quiet & wmic shadowcopy delete & bcdedit / set{ default } bootstatuspolicy ignoreallfailures & bcdedit / set{ default } recoveryenabled no & wbadmin delete catalog - quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_decrypt_files.txt
desuCrypt.exe

Расположения:
%APPDATA%\How_decrypt_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insane@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на вариант DeusCrypt >>
VirusTotal анализ на вариант InsaneCrypt >>
Intezer анализ на вариант InsaneCrypt >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория:
В декабре 2017 года был ранний проект desuCrypt.
Оригинальное название: desuCrypt или DeusCrypt:
Расширения: .DEUSCRYPT и .deuscrypt
Составное расширение: .[rememberggg@tutanota.com].DEUSCRYPT
Email: rememberggg@tutanota.com
Записка: note.txt
Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail rememberggg@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
2b1be0***
Результаты анализов: HA + VT

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .Tornado
Составное расширение: .[<email>].Tornado
Записка: key.txt
Email-1: helpcrypt@airmail.cc, supphelp@cock.li
Email-2: dongeswas@tutanota.com, dongeswas@cock.li
Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: helpcrypt@airmail.cc.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: supphelp@cock.li
[KEY *** 512 hex]
---
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: dongeswas@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: dongeswas@cock.li
[KEY *** 512 hex]
Результаты анализов: HA + VT
Статус: Дешифруется!


Обновление от 15 февраля 2018:
Пост в Твиттере >>
Расширение: .twist
Составное расширение: .[<email>].twist
Email: twist@airmail.cc
Содержание записки / Contents of note: 

Статус: Дешифруется!


Обновление от 24 февраля 2018:
Расширение: .Tornado
Составное расширение: .[aidcompany@tutanota.com].Tornado
Email: aidcompany@tutanota.com
Целевая система: x64
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать InsaneCryptDecrypter для дешифровки >> *
Поддерживаемые расширения:
.[<email>].insane
.[<email>].DEUSCRYPT
.[<email>].deuscrypt
.[<email>].Tornado
.[<email>].twist
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InsaneCrypt)
 Write-up, Topic of Support
  🎥 Video review + Tweet

 This video review provided by CyberSecurity GrujaRS

Added later: 
Write-up (added on January 22, 2018)
Topic of Support

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

KillBot_Virus

KillBot_Virus Ransomware
KillBot.Prime Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KillBot Virus с вариациями. На exe-файле в данный момент написано: KILLBOT.PRIME.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillBot_Virus > KillBot.Prime

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока имеет недоработанный функционал и ничего не шифрует, только пугает.  

Запиской с требованием выкупа выступает следующий скриншот, вероятно, экран блокировки или его часть.

Содержание записки о выкупе:
Oops your important data was encrypted with an AES encryption algorithm!!
<Killbot Virus>
If you see this banner then all of your important files have been encrypted and the executable format files were infected
What is this?
Killbot is a virus that encrypts files and data and infects them
As you became it's victim please make sure to read all the info below.
WARNING!: THIS IS NOT SOME JOKES EVERYTHING IS REAL!
ALSO DO NOT TRY TO CLOSE OR EVEN DELETE THE SOFTWARE IF YOU DO YOUR PC WILL BE DESTROYED!
Your files cannot be restored, however there are some steps to follow if you donft want it on your computer.
Step 1: Please get a windows reinstallation CD and reinstall windows on your computer.
Step 2: Get a powerful antivirus software and update it to the latest version.
Please do everything as it was written if you want to get your PC back
</Killbot Virus>

Перевод записки на русский язык:
Увы, ваши важные данные зашифрованы с алгоритмом шифрования AES!
<Killbot Virus>
Если вы видите этот баннер, то все ваши важные файлы зашифрованы, а исполняемые файлы заражены
Что это?
Killbot - это вирус, который шифрует файлы и данные и заражает их
Раз вы стали жертвой, обязательно прочитайте всю информацию ниже.
ПРЕДУПРЕЖДЕНИЕ!: ЭТО НЕ ШУТКА, ВСЕ РЕАЛЬНО!
ТАКЖЕ НЕ ПЫТАЙТЕСЬ ЗАКРЫТЬ ИЛИ ЖЕ УДАЛИТЬ ПРОГРАММУ, ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ТО ВАШ ПК ПОСТРАДАЕТ!
Ваши файлы не могут быть восстановлены, но можно предпринять некоторые шаги, если вы не хотите этого на своем компьютере.
Шаг 1. Загрузите CD с Windows и переустановите Windows на своем компьютере.
Шаг 2. Получите мощную антивирусную программу и обновите её до последней версии.
Пожалуйста, сделайте все, как было написано, если вы хотите вернуть свой компьютер
</Killbot Virus>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLBOT.PRIME.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BigEyes

BigEyes Ransomware

LimeDecryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Hsociety и BigEyes. На файле проекта написано: BigEyes.pdb.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lime

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком #Lime Decryptor:

Информатором жертвы также выступает изображение, встающее обои Рабочего стола.  

Содержание записки о выкупе:
All your files have been encrypted
But You can still recover your files
Just send us 100$ Bitcoin, And we will give you your files back
After you pay us, send us email r3vo@protonmail.com
include your transaction number
This is Ransomware, It's not a joke
Thanks
Bye

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Но вы можете вернуть свои файлы
Просто отправьте нам 100$ в биткоинах, и мы вернем вам ваши файлы
После того, как вы заплатите нам, пришлите нам email на r3vo@protonmail.com
укажите номер транзакции
Это Ransomware, это не шутка
Спасибо
Пока

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
#BackGround.png
#Decryptor.exe
BigEyes.exe
leamon.exe
\hash\ - скрытая папка с AES-ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Microsoft\hash
\Desktop\#BackGround.png
\Desktop\#Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: r3vo@protonmail.com
BTC: 1PNh6dmaUtv96C7ezTdUqVvfWBUYuCBbUM
www.youtube.com/watch?v=Ji9IwPId5Uk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на Crypt.exe >>
VirusTotal анализ на BigEyes.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, SDK
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Velso

Velso Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Velso. На файле написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Идентификатор ключа и жертвы генерируется CryptGenRandom (), используя AES-256 OpenSSL в режиме ECB.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .david
Email: davidfreemon2@aol.com
Записка: get_my_files.txt
Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software
You can find out the details / buy decryptor + key / ask questions by contact for communication (email): davidfreemon2@aol.com
Your userkey: *****
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Demonslay335 >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 

Added later:
Write-up on BC (added January 26, 2018)
*

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillDisk-Dimens

KillDisk-Dimens Ransomware

(фейк-шифровальщик, деструктор)

Этот крипто-вымогатель не шифрует данные на дисках пользователей и даже пока не требует выкуп, чтобы вернуть файлы. Файлы перезаписываются нулями и удаляются. Оригинальное название: не указано. 

© Генеалогия: KillDisk >> KillDisk-Dimens

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы затираются нулевыми байтами. 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на финансовые организации латиноамериканских стран, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует.
Также не выдвигается никаких требований о выкупе. Возможно, требования будут выдвинуты позже, когда причинённый ущерб станет масштабнее. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По мнению исследователей из TrendMicro, вредонос KillDisk-Dimens, попав на компьютер, загрузится в память, удалит файлы с диска и переименует себя. Затем он перезапишет первые 20 секторов MBR каждого запоминающего устройства с 0x00 байтами.

После этого он перепишет первые 2800 байт каждого файла с теми же 0x00 байтами на каждом фиксированном и съемном накопителе. Единственными оставленными файлами являются файлы и папки, найденные в следующих каталогах Windows:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs

Таким образом содержимое файлов сначала перезаписывается нулевыми байтами, фактически — затирается, а потом файлы удаляются. 

Потом KillDisk запускает таймер на 15 минут, а затем завершает следующие процессы: 
Client/server run-time subsystem (csrss.exe)
Windows Start-Up Application (wininit.exe)
Windows Logon Application (winlogon.exe)
Local Security Authority Subsystem Service (lsass.exe)


Т.к. это критические процессы ОС, то компьютер либо войдет в BSOD, либо будет принудительно перезагружен без опции пользователя.

Специалисты TrendMicro нарисовали схему работы этой версии вредоноса.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются, а перезаписываются нулями и потом удаляются.

Файлы, связанные с этим Ransomware:
dimens.exe
<random>.exe

Расположения:
C:\Windows\dimens.exe
C:\Windows\0123456789
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 TrendMicro
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.