NMoreira Ransomware
Fake Maktub Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0,5 - 1,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Создан: TeamXRat. Но работает под видом другого криптовымогателя Maktub Locker, т.к. записка о выкупе написана от maktub и к зашифрованным файлам добавляется одноименное ему расширение, хотя у прежнего Maktub Locker добавляемое расширение не было статическим. Англоязычная версия известна под названием AiraCrop Ransomware.
© Генеалогия: Team XRat > NMoreira > NMoreira 2.0 > R > NM4
К зашифрованным файлам добавляется расширение .maktub
Активность этого крипто-вымогателя пришлась на октябрь-ноябрь 2016 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
Recupere seus arquivos. Leia-me! (Восстановить свои файлы. Читай меня!)
Содержание записки о выкупе:
Olá, seus arquivos foram criptografados.
A única forma de tê los de volta, é atraves de um software juntamente com sua chave privada.
Caso haja interesse em recuperar seus arquivos, entre em contato pelo seguinte email:
contatomaktub@email.tg
No campo do email, me envie sua chave pública que está logo a baixo.
Te responderei o mais rápido possível.
Att
.maktub
*****
Перевод записки на русский язык:
Привет, твои файлы зашифрованы.
Один способ вернуть их - получить программу вместе с закрытым ключом.
Если ты заинтересован в восстановлении файлов, то напиши на этот email:
contatomaktub@email.tg
В письме пришли мне свой открытый ключ, который есть ниже.
***
Я отвечу как можно скорее.
Att
.maktub
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Email вымогателей: contatomaktub@email.tg
Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
Recupere seus arquivos. Leia-me!
Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Team XRat Ransomware - август 2016
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер. Скачать Emsisoft Decrypter для NMoreira >> Инструкция прилагается.
Read to links: Tweet-1 + Tweet-2 on Twitter ID Ransomware (ID as NMoreira) Write-up (added April 24, 2017) *
Thanks: Michael Gillespie Fabian Wosar * *
© Amigo-A (Andrew Ivanov): All blog articles.