четверг, 24 ноября 2016 г.

Lomix

Lomix Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $500, равный ~0,68 биткоина, чтобы вернуть файлы. Название оригинальное, вариант написания: LOMIX. 

© Генеалогия: CryptoWire >> Lomix

К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension. 
Таким образом файл Important.docx станет Important.encrypted.docx

Активность этого криптовымогателя пришлась на конец ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "LOMIX". 

Содержание записки о выкупе:
Your files has been safely encrypted
The only way you can recover your files is to buy a decryption key from lambing.watson@gail.com
The payment method is: Bitcoins. The price is: $500 = 0.68096697 Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод записки на русский язык:
Ваши файлы были безопасно зашифрованы 
Одним способом вы можете восстановить файлы, это купить ключ дешифрования у lambing.watson@gail.com
Способ оплаты: Bitcoins. Цена: $ 500 = 0.68096697 Bitcoins
Нажмите на кнопку 'Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, тексты, веб-страницы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
lomix.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
lambing.watson@gail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *
 *
 Thanks: 
 S!Ri
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *