пятница, 28 октября 2016 г.

Fileice, Survey

Fileice Ransomware
Survey Ransomware


   Этот крипто-вымогатель шифрует данные пользователей, а затем заставляет пройти опрос для разблокировки компьютера. Оригинальное название: FileiceRansomware. 

Тестовая разработка этого криптовымогателя обнаружена в октябре 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа нет. 


Этот вымогатель использует опросную платформу FileIce, чтобы заставить вас пройти опрос до разблокировки компьютера. 
Выбор опроса из списка, когда ПК не заблокирован

Тот же сайт, когда ПК заблокирован

Вымогателей извлекает эти обзоры из URL *fileice.net*, как показано в исходном коде ниже.

Когда пользователь завершит опрос, то к нему в папку загрузок будет загружен файл ThxForYurTyme.txt, который покажет текстовое сообщение "Thank you for supporting me" (Спасибо тебе за поддержку меня).

Этот вымогатель пока находится в разработке (многие функции неактивны) и пока активно не распространяется. 

Например, вот политики, которые вымогатель может включить или включит в финальной версии:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableLockWorkstation" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableChangePassword" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoClose" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoLogoff" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "HideFastUserSwitching" = 1

В перспективе может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

Список файловых расширений, подвергающихся шифрованию:

в первую очередь — файлы документов и изображений.

Файлы, связанные с Fileice Ransomware:
FileiceRansomware.exe
C:\Users\User_name\Downloads\ThxForYurTyme.txt
C:\seo\Sdchost.exe

Записи реестра, связанные с Fileice Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost C:\seo\Sdchost.exe

Сетевые подключения:
66.252.2.22:80
хттп://www.fileice.net (66.252.2.22)
хттп://fileice.net/download.php?t=regular&file=3lhzu

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: единичные случаи.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
Writeup on BC
*
 Thanks: 
 Karsten Hahn by GData 
 Lawrence Abrams by BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *