вторник, 27 сентября 2016 г.

DXXD

DXXD Ransomware


   Этот крипто-вымогатель шифрует данные на сервере, а затем требует связаться по почте с экспертом вымогателей, чтобы вернуть файлы. Название получил от добавляемого окончания. Есть сведения о том, что это разработка украинских вымогателей. 

К зашифрованным файлам добавляется dxxd (без точки). Таким образом файл picture.jpg станет picture.jpgdxxd

Записки с требованием выкупа называются: ReadMe.TxT

Содержание записки о выкупе:
Dear owner, bad news!!!!
Your SERVER [hacked], and file's [ENCRYPTED]!
If you need back files and recommendation's,
to protect your file's and server, write to e-mail:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
If don't answer on e-mail? Write to [jabber]:
what's jabber?
GUIDE : xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-
pidgin-the-universal-messaging-client/
Programm : xxxxs://pidgin.im/download/
Register account : xxxxs://www.xmpp.jp or xxxxs://rows.io/ or your custom.
Add me : [one_weaJc@rows.io]
And so, write me.
Sorry.

Перевод записки на русский язык:
Уважаемый владелец, плохая новость !!!!
Ваш СЕРВЕР [взломан], и файлы [ЗАШИФРОВАНЫ]!
Если вам нужно вернуть файлы и рекомендации,
для защиты ваших файлов и сервера, пишите на email:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
Если нет ответа на email? Пишите [jabber]:
Что такое jabber?
ГИД: xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Программа: xxxxs://pidgin.im/download/
Регистрация аккаунта: xxxxs://www.xmpp.jp или xxxxs://rows.io/ или ваш.
Добавьте меня: [one_weaJc@rows.io]
И так, пишите мне.
Извините.

У некоторых пострадавших наблюдалось изменение экрана входа в Windows на следующий:

Содержание текста с экрана:
Microsoft Windows Security Center. Dear Administrator, YOUR server is attacked by hackers.
For more informations and recommendations, write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software. And write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

Перевод текста на русский язык:
Центр безопасности Microsoft Windows. Ув. Администратор, ваш сервер атакован хакерами.
Для подробной информации и рекомендаций пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

При запуске Windows, Windows Defender работает, чтобы защитить ваш ПК проверкой на вредоносное или нежелательное ПО. Пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

Распространяется с помощью email-спама и вредоносных вложений, с помощью хакерских атак путём взлома.

Список файловых расширений, подвергающихся шифрованию:

.doc, .docx, .jpe, .jpeg, .jpg, .png, .rtf, .xls, .xlsx...

Файлы, связанные с DXXD Ransomware:
ReadMe.TxT


Обновление от 10 октября 2016:
DXXD-2
1. Изменение экрана входа в Windows теперь у всех пострадавших. 
2. Записи реестра, связанные с DXXD Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
3. Новые email вымогателей:
rep_stosd@protonmail.com
rep_stosd@tuta.io


Внимание! 
Для зашифрованных файлов есть декриптеры


Степень распространённости: средняя.
Подробные сведения собираются.

Read to links:
ID Ransomware
Topic on BC + Write-up on BC (added on Oktober 10, 2016)
 Thanks:
 Michael Gillespie (‏Demonslay335)
 Lawrence Abrams on BleepingComputer
 Fabian Wosar on Emsisoft

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *