среда, 21 сентября 2016 г.

Mobef-Parisher

Mobef-Parisher Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные на взломанных серверах, а затем требует написать на почту вымоагтелей, приожить к письму 1 зашифрованный файл не более 1 МБ и файл с ключом, а также уплатить выкуп в 5 биткоинов, чтобы получить дешифровщик и вернуть файлы. Название получил от логина почты вымогателей.

© Генеалогия: Mobef >> Mobef-Parisher 

К зашифрованным файлам никакое расширение не добавляется. Файлы не переименовываются. 

Активность этого криптовымогателя пришлась на сентябрь-ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа в зависимости от разных атак могут называться по разному, например:
1NFORMAT1ONFOR.YOU
HELLO.0MG

К ним прилагается специальный файл, видимо с открытым ключом шифрования, который может иметь разные названия, например: 
ENCRYPT1ON.KEY123
LOKMANN.KEY993

Содержание текста о выкупе:
ID:255482
PC:SERVER08
USER:Administrator
---
Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* check your junk/spam folder first though
These files have been encrypted (please, keep this .log): C:\Windows\255482.log

Перевод текста на русский язык:
ID:255482 (идентификатор)
PC:SERVER08 (имя машины)
USER:Administrator
---
Привет. Я могу дешифровать твои файлы.
Напиши мне: parisher@protonmail.com
В случае, если ты не получил ответ, то напиши мне сюда *:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* проверь папку хлам / спам сначала
Эти файлы зашифрованы (только сохрани этот .log): C:\Windows\255482.log

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Известные email вымогателей: 
parisher@protonmail.com
parisher@india.com
parisher@inbox.lv
parisher@mail.bg

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:
 .3d, .3dm, .3ds, .3g2, .3gp, .7z, .abk, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bac, .bak2, .bak, .bak3, .bat, .bin, .bkp, .bmp, .bup, .cab, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .old, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wbb, .wma, .wmv, .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (163 расширения) и другие
Это документы, базы данных, бэкапы, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Windows\<6_digit_number>.log например, 255482.log - список зашифрованных файлов
ENCRYPT1ON.KEY123 или LOKMANN.KEY993 - нужно приложить к письму
HELLO.0MG или 1NFORMAT1ONFOR.YOU - сообщение для жертвы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Voluntary contribution wished to remain anonymous
 ID Ransomware (ID under Mobef)
 *
 *
 Thanks: 
 Unknown assistant
 Michael Gillespie
 Mihay Ice
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *