среда, 28 декабря 2016 г.

KillDisk

KillDisk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 222 биткоина (более $200000) в обмен на ключ дешифрования. Каждый файл шифруется со своим собственным AES-ключом, а затем AES-ключ шифруется с помощью открытого ключа RSA-1028. Название оригинальное. Разработка: TeleBots (Sandworm). Фальш-имя: Update center, Microsoft Update center.

Для связи с операторами используется протокол Telegram. Пострадавший должен связаться с TeleBots по email, заплатить выкуп и получить закрытый RSA-ключ для расшифровки файлов. Компонент KillDisk Malware используется для операций с файлами, чтобы повредить загрузку системы. 

© Генеалогия: KillDisk Malware + encryption > KillDisk Ransomware.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на ноябрь-декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок с надписью, встающий обоями рабочего стола. 

Содержание записки о выкупе:
We are so sorry, but the encryption of your data has been successfully completed, so you can lose your data or pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Перевод записки на русский язык:
Нам очень жаль, но шифрование ваших данных было успешно завершено, так что вы можете потерять свои данные или заплатить 222 BTC на 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF с blockchain.info
Контактный email-адрес: vuyrk568gou@lelantos.org

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (под видом документов MS Office), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
pay.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
vuyrk568gou@lelantos.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>


Этот шифровальщик-вымогатель главным образом ориентирован на промышленные предприятия. До этого модифицированный KillDisk Malware, еще без функционала шифрования, был замечен в атаках на украинские банки. Модифицированный вредонос использовал Windows GDI (Graphics Device Interface) и рисовал как визитную карточку картинку из Mr. Robot TV, используемую хакерской группой FSociety, а также известную нашим читателям-старожилам по ряду других Ransomware, описанных в этом блоге. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up
 Write-up
 *
 *
 Thanks: 
 Phil Neray (CyberX)
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *