пятница, 23 сентября 2016 г.

Cyber SpLiTTer Vbs

Cyber SpLiTTer Vbs Ransomware

(фейк-шифровальщик)

(шифровальщик-вымогатель)


   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин за дешифровку файлов. Название оригинальное, написано в окне экрана блокировки. Новая версия уже шифрует данные с помощью AES-256. Разработчик: Cyber SpLiTTer Vbs Team.

© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs

В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа. 

Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".

Перевод на русский язык:
твои изображения, видео и документы зашифрованы.

По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся. 

Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях

Детект на VirusTotal >>

Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам

Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе. 

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT

Обновление от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn


Обновление от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn  





Обновление от 13-14 февраля 2017:
Пост в Твиттере >>
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT
Скриншоты >>
 

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf




Read to links:
Tweet on Twitter
Write-up on BC
*
*
 Thanks:
Karsten Hahn by GData
Lawrence Abrams
Michael Gillespie
GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *