понедельник, 21 ноября 2016 г.

NMoreira, Fake Maktub

NMoreira Ransomware 

Fake Maktub Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0,5 - 1,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Создан: TeamXRat. Но работает под видом другого криптовымогателя Maktub Locker, т.к. записка о выкупе написана от maktub и к зашифрованным файлам добавляется одноименное ему расширение, хотя у прежнего Maktub Locker добавляемое расширение не было статическим. Англоязычная версия известна под названием AiraCrop Ransomware



© Генеалогия: Team XRat > NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .maktub

Активность этого крипто-вымогателя пришлась на октябрь-ноябрь 2016 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Recupere seus arquivos. Leia-me! (Восстановить свои файлы. Читай меня!)

Содержание записки о выкупе:
Olá, seus arquivos foram criptografados.
A única forma de tê los de volta, é atraves de um software juntamente com sua chave privada.
Caso haja interesse em recuperar seus arquivos, entre em contato pelo seguinte email:
contatomaktub@email.tg
No campo do email, me envie sua chave pública que está logo a baixo.
Te responderei o mais rápido possível.
Att
.maktub
*****

Перевод записки на русский язык:
Привет, твои файлы зашифрованы.
Один способ вернуть их - получить программу вместе с закрытым ключом.
Если ты заинтересован в восстановлении файлов, то напиши на этот email:
contatomaktub@email.tg
В письме пришли мне свой открытый ключ, который есть ниже.
***
Я отвечу как можно скорее.
Att
.maktub

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Email вымогателей: contatomaktub@email.tg

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Recupere seus arquivos. Leia-me!

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.


Инструкция прилагается. 

 Read to links: 
 Tweet-1 + Tweet-2 on Twitter 
 ID Ransomware (ID as NMoreira)
 Write-up (added April 24, 2017)
 *
  Thanks: 
  Michael Gillespie
  Fabian Wosar
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *