суббота, 5 ноября 2016 г.

PayDOS, Serpent

PayDOS Ransomware 

Serpent Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное, судя по exe-файлу и заголовку в DOS-окне.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dng
Кроме того файлы переименовываются в нумерованном порядке: от 1 до имеющегося количества файлов. Пример см. на скриншоте выше. 

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются README.txt
Вымогатель считывает имя пользователя и в записке обращается к нему по этому имени. 

Все требования также продублированы в DOS-окнах: PayDOS и SERPENT

Содержание текста из окна PayDOS:
I am so sorry you can see me. If you can I have bad news.
It seems all your files have been encrypted and there is nothing that you can do about this. However with my help I can help you restore them. You need a passcode to decrypt them. Send exactly 0.33 BTC to this address: 
You will be send the PASSCODE.

Перевод текста на русский язык:
Я сожалею, что вы видите меня. Если это так, то у меня для вас плохие новости. Увы, все ваши файлы зашифрованы и ничего вы не можете сделать в этом случае. Но с моей помощью я могу помочь вам вернуть их. Вам нужен passcode, чтобы дешифровать их.
Отправьте ровно 0,33 BTC по этому адресу:
Вы должны прислать PASSCODE.


Содержание текста из окна SERPENT:
Hello User,
Your files have all been encrypted using a heavy encryption called "RSA-2048". You will not be able to access the files unless you have been provided the PASSCODE. This unfortunate event does have a solution By paying a small fee you can get all of your files back as you will be sent the passcode.
You can find the contact information bellow...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Перевод текста на русский язык:
Привет Пользователь,
Ваши файлы все зашифрованы с помощью тяжелого шифрования называемым "RSA-2048". Вы не сможете получить доступ к файлам, если вы не получили PASSCODE. Этот несчастный случай имеет решение, заплатив небольшую плату, вы можете получить все ваши файлы обратно, когда вам будет выслан passcode.
Вы можете найти контактную информацию ниже...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Для сведения, PASSCODE: AES1014DW256

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом легитимного ПО Skype. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Директории, подвергающиеся шифрованию:
C:\Users\%Username%\AppData\Local
C:\Users\%Username%\Desktop
C:\Users\%Username%\Documents
C:\Users\%Usernanie%\Music
C:\Users\%Usernane%\Uideos
C:\Users\%Usernane%\Downloads
C:\Users\%Username%\Pictures

Список файловых расширений, подвергающихся шифрованию:
.avi, .dav, .dgg, .dif, .dng, .dnk, .dov, .dp3, .dp4, .dpg, .drl, .dsi, .dvi, .dxe, .dxt, .exe, .gif, .Ink, .jpg, .mov, .mp3, .mp4, .msi, .ogg, .png, .txt, .url, .wav (28 расширений). 

Файлы, связанные с PayDOS Ransomware:
SpikeSkype_SETUP.exe
PayDOS_Ransomware_unlockcode_AES1014DW256.exe"
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3E2A.tmp\3E2B.bat
%TEMP%\3E2A.tmp\3E2B.bat C:\PayDOS_Ransomware_unlockcode_AES1014DW256.exe
И другие. 

Записи реестра, связанные с PayDOS Ransomware:
см. ниже гибридный анализ.

Сетевые подключения:
см. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)
 Thanks: 
 Jakub Kroustek 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *