вторник, 20 декабря 2016 г.

BrainCrypt

BrainCrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Срок на уплату выкупа — 2 дня. Название дано от используемого расширения. Написан на языке Go.

© Генеалогия: выясняется.

BrainCrypt Ransomware
Изображение не имело отношения к шифровальщику

К зашифрованным файлам добавляется расширение .braincrypt по шаблону 
.[braincrypt@india.com].braincrypt

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На данный момент замечены пострадавшие из следующих стран: Германия и Беларусь. 

Записки с требованием выкупа называются: !!! HOW TO DECRYPT FILES !!!.txt

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED.
TO DECRYPT FILES, PLEASE, CONTACT US WRITING ON THIS EMAIL: headlessbuild@india.com 
YOUR PERSONAL ID: b341f***

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для расшифровки файлов, пожалуйста, напишите нам на этот email: 
headlessbuild@india.com
Ваш персональный ID: b341f***

Другой вариант записки о выкупе:
Good morning, your files have been scrambled by trojan.
To decrypt, you must turn on the email: headlessbuild@india.com
with request about decrypting files.
You need to send in the email-message with your personal ID: dbl73a898f7ac78b83775ff7493ecl77

Faster write to us and we will save your data in another case, they may be lost forever. Time 2 days.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bak, .bin, .bmp, .dat, .db, .DeskLink, .doc, .docx, .DTD, .exe, .htt , .ini, .jpg, .lnk, .log, .MAPIMail, .mydocs, .ppt, .pptx, .sam, .scf, .shw, .sst, .theme, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpg, .wpl, .xls, .xlsx, .xml, .ZFSendToTarget (39 расширений) и другие.  
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие файлы и пр. 

Файлы, связанные с этим Ransomware:
!!! HOW TO DECRYPT FILES !!!.txt
rlsys.exe
<random>.exe
<random>.tmp
.key.brain
.pblkey.brain

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***alex-luthor.myjino.ru (81.177.140.121:80 Россия)
***shussain962.myjino.ru
***docusign.myjino.ru/
***online-navy-nfcu.myjino.ru
***bridedress.com.ua/ru/ (Украина)
***golang.org
braincrypt@india.com
headlessbuild@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BrainCrypt)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 xXToffeeXx
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *