понедельник, 21 ноября 2016 г.

VindowsLocker

VindowsLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить $349.99, чтобы вернуть файлы. Название оригинальное, указано в заголовке блокировщика экрана. Вымогатели, судя по картинке и тексту, из Индии, выдают себя за техподдержку Microsoft. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vindows

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Имитирует, хоть и грубо, некую техническую поддержку, принужная пострадавших заплатить за услугу разблокировки.  

Запиской с требованием выкупа выступает блокировщик экрана "VindowsLocker". 

Содержание текста о выкупе:
this not microsoft vindows support
we have locked your files with the zeus wirus 
do one thing and call level 5 microsoft support technician at 1-844-609-3192
you will files back for a one time charge of $349.99

Перевод текста на русский язык:
Это не Microsoft Windows поддержка
Мы блокировали твои файлы с Zeus-вирусом
Убедись и звони на 5 уровень microsoft support technician 1-844-609-3192
Ты можешь вернуть файлы потратив $349.99

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Файлы, связанные с этим Ransomware:
Vindows.exe
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Дополнение от Malwarebytes (от 28 ноября 2016)
VindowsLocker не имеет C&C-сервер для хранения ключей шифрования своих жертв. Он поставляется с двумя ключами API Pastebin (api_dev_key и api_user_key), которые использует, чтобы сохранить имя зараженного ПК и случайного ключа AES, используемого для блокировки файлов жертвы внутри страницы Pastebin. Но из-за допущенной ошибки вымогателям не удаётся получить ключи AES-шифрования и помочь жертвам разблокировать файлы после уплаты выкупа.
Когда жертва звонит по номеру "технической поддержки" операторы центра подключаются в удалённом сеансе. Они открывают официальную страницу поддержки Microsoft, а затем быстро вставляют сокращенный URL-адрес в адресную строку, который открывает форму (размещенную на JotForm).

Операторы вымогателей используют эту форму для сбора личных данных пользователя. Если пользователь не замечает это быстрое действие, то может поверить в то, что он всё ещё находится на сайте Microsoft и раскрыть свои личные данные. 

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптеры:
1) От Malwarebytes - скачать декриптер >>
Подробная инструкция на странице блога. 
2) От @TheWack0lian - скачать и запустить декриптер >>


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VindowsLocker)
* 
 *
Malwarebytes blog
Write-up on BC
 Thanks: 
 JakubKroustek 
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *