пятница, 7 октября 2016 г.

Fs0ciety Locker

Fs0ciety Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 CBC и 32-байтного ключа. Новый 16-байтный идентификатор генерируется для каждого файла и сохраняется в его заголовке. Вымогатели требуют выкуп в 1,5 биткоинов в течение 24 часов, чтобы вернуть файлы. Название Fs0ciety указано в записке о выкупе. Там же вымогатель упоминанется и как Fs0ci3ty. Написан на Python. 

!!! Не путайте с вымогателем FSociety Ransomware

К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety. Оригинальное имя файла вместе с оригинальным раширением сохраняются. Таким образом после шифрования файл document.doc станет document.doc.realfs0ciety@sigaint.org.fs0ciety

Шаблон: <original_filename>.realfs0ciety@sigaint.org.fs0ciety

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Записка с требованием выкупа называется fs0ciety.html и размещается на рабочем столе. 

Содержание записки о выкупе:
Welcome To Fs0ci3ty
realfs0ciety@sigaint.org
You Will need to make a Payment of 1.5 Bitcoins within the next 24 Hours or Ransome goes to 1 Btc more daily. Your File System has been encrypted using state of the art Technology 
You may already understand how this works, if you do good but if you are confused or are unaware of how this works we are hoping to be more informative with our clients. 
Buying bitcoins can be very hard to do, so to make this more trust worthy than most we are going to have a secure cold payment system set up that will allow us to secure bitcoins. 
As well as a different wallet address per client, each user is given a unique identifier by the server that is used to track distributed keys as well wallet addresses assigned. 
You can head to http://localbitcoins.com/ and create a new account in seconds flat, than go to the wallet and send 1.5 btc to the address you were given in the ransome message 
you will use the bitcoin you get through local bitcoins to pay to the unique wallet we gave you the identifier in the bottom left of this page is tied to your key contact us via email

Перевод записки на русский язык:
Добро пожаловать в Fs0ci3ty
realfs0ciety@sigaint.or
Вам нужно внести платеж в размере 1,5 биткоина в течение 24 часов или выкуп станет расти на 1 BTC ежедневно. Ваша файловая система была зашифрована с использованием самой современной технологии.
Вы можете понять, как это работает, если всё делаете хорошо, но если вы запутались или не знаете, как это работает, мы надеемся быть более информативными с нашими клиентами.
Покупка биткоинов может показаться трудной, чтобы сделать это проще и безопаснее, мы настроим безопасную платежную систему, что позволит нам безопасно получить биткоины.
А также другой адрес кошелька на одного клиента, каждому пользователю присваивается сервером уникальный идентификатор, который используется для отслеживания распределяемых ключей, присвоенный также адреса кошелька.
Вы можете отправиться в http://localbitcoins.com/ и создать новую учетную запись за секунды, перейти к кошельку и отправить 1.5 BTC по указанному в сообщении о выкупе адресу.
Вы будете использовать биткоины, вы сможете через местные биткоины заплатить на уникальный кошелек, мы дали вам идентификатор в нижней левой части этой страницы, привязан к вашему ключу, свяжитесь с нами по email.

Распространяется с помощью email-спама и вредоносных вложений, в том числе документов с  вредоносными макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования Fs0ciety Locker удаляет тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Ransomware:
C:\Users\Ricoh\driver_update.exe 
discovered.txt - содержит список файлов, которые будут зашифрованы;
fs0ciety.html - записка о выкупе;
Invoice_payment.docm - документ с вредоносным макросом. 

Записи реестра, связанные с Fs0ciety Locker Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ на файл Invoice_payment.docm

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Topic on BC + Write-up on BC
 Thanks: 
 Michael Gillespie
 xXToffeeXx (PolarToffee)
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *