понедельник, 10 октября 2016 г.

Deadly for a Good Purpose

Deadly Ransomware 

Deadly for a Good Purpose Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название получил от заголовка в окне вымогателя. 

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей. 

Примечательно, что в коде криптовымогателя исследователи обнаружили информацию, что шифрование файлов начнется 1 января 2017 года, как злодейский новогодний сюрприз. Там же вписан email вымогателей: gravityz3r@sigant.org

Записки с требованием выкупа называются: 
  ransom.html - располагается на рабочем столе;
  logo.png - встаёт обоями рабочего стола. 


Содержание записки о выкупе:
Deadly for a Good Purpose Ransomware
Key Will Be Destroyed On: &Date&
Your Files Are Encrypted: &FileCount&
USER ID: &UserID& - Encryption Used: AES-256
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done: nobody will ever be able to restore files... In order to decrypt the files you will need to send S500 USD in form of BTC to the following bitcoin address:
&bitwallet& (How to buv Biteoins?)
After payment contact &email& with your transaction details and "USER ID". Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.
View Encrypted Files

Перевод записки на русский язык:
Фатальный для Хорошего Дела Вымогатель
Ключ будет уничтожен On: &Дата&
Ваши файлы зашифрованы: &Число Файлов&
USER ID: &UserID& - Шифрование: AES-256
Ваши файлы безопасно зашифрованы на этом ПК: фото, видео, документы и т.д. Нажмите кнопку "Show encrypted files" для просмотра списка зашифрованных файлов, чтобы лично убедиться в этом. Шифрование сделано с использованием уникального открытого ключа AES-256, созданного для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ. Единственная копия секретного ключа позволит вам дешифровать файлы, есть на секретном сервере в Интернет; сервер уничтожит ключ по истечении периода времени, что указан в этом окне. После этого: никто и никогда не сможет вернуть файлы ... Для дешифровки файлов нужно отправить $500 USD в виде BTC на Bitcoin-адрес:
&bitwallet& (Как купить биткоины?)
После оплаты пишите на email и с деталями транзакции и "USER ID". После подтверждения оплаты вы получите ключ дешифрования вместе с декриптером. Любая попытка удалить или повреждить эту программу приведет к немедленному уничтожению закрытого ключа сервером. Осторожно.
Просмотр зашифрованных файлов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
 .aep, .asp, .aspx, .csv, .csx, .doc, .docx, .htm, .html, .jpg, .mdb, .mp3, .pdf, .php, .png, .psd, .sln, .sql, .torrent, .txt (20 расширений)

Файлы, связанные с Deadly Ransomware:
A858SEPJANBLEED.exe
%USERPROFILE%\Desktop\ransom.html
%USERPROFILE%\Desktop\logo.png

Записи реестра, связанные с Deadly Ransomware:

См. ниже гибридный анализ.

Сетевые подключения:
хттп://lmgtfy.com/?q=how+to+buy+bitcoins

Результаты анализов:
Гибридный анализ >>
Гибридный анализ от 14 ноября >>
VirusTotal анализ >>
VirusTotal анализ от 18 ноября 2016 >>
VirusTotal анализ от 14 ноября >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
 Thanks: 
 MalwareHunterTeam
 Thyrex
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *