среда, 21 декабря 2016 г.

Manifestus

Manifestus Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина или 160 доларов, чтобы вернуть файлы. Название оригинальное. Этот шифровальщик представляет собой доработанную версию M4N1F3STO Ransomware. 


© Генеалогия: M4N1F3STO > Manifestus

К зашифрованным файлам добавляется расширение ***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your personal files are encrypted by Manifestus
Your documents, photos, databases and other important files ha ye been encrypted with strongest
encryption and unique key, generated for this computer.
The single copy of the private key, with will allow you to decrypt the files, located on a secret server on the internet, the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0,2 bitcoins or 160 USD Dollars to the bitcoin adress specified below with your email address to send you the decryption key.
If you do not have bitcoins you can buy them from www.localbitcoins.com.
Thank you!
Bitcoin Address: ***
If you already purchased the key enter it here: ...

Перевод записки на русский язык:
Ваши личные файлы зашифрованы с помощью Manifestus
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальный ключ, созданным для данного компьютера.
Только один экземпляр секретного ключа позволит вам расшифровать файлы, находится на секретном сервере в Интернете, сервер уничтожит ключ по окончании времени, указанного в этом окне. После этого никто и никогда не сможет восстановить файлы ...
Для получения секретного ключа для этого компьютера, который автоматически расшифрует файлы, вам нужно заплатить 0,2 биткоина или 160 долларов США на Bitcoin-адрес, указанного ниже, ваш адрес mail, чтобы отправить вам ключ дешифрования.
Если у вас нет биткоинов, вы можете купить их на www.localbitcoins.com.
Спасибо!
Bitcoin-адрес: ***
Если вы уже приобрели ключ, введите его здесь: ...

Надпись на вторичном окне:
Windows Update
Please do not restart or shutdown your pc during this operation.
Your system32 will be damaged, and this will brick you pc.
Thank You!
Jhon Woddy, Microsoft

Точно такая же была во второй версии M4N1F3STO Ransomware

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
RANSOMWARE.exe
<random>.exe
DO NOT OPEN THE FUCKIN RANSOMWARE.exe







Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 9 января 2016:
Расширение: .fucked
Результаты анализов: HA+VT
Текст записки:

Your documents, photos, databases and other important files have been encrypted with strongestencryption and unique key, generated for this computer. The single copy of the private key, with will allow you to decrypt the files, locatedon a secret server on the internet, the server will destroy the key after a timespecified in this window. After that, nobody and never will be able to restore files...To obtain the private key for this computer, which will automatically decrypt files,you need to pay 0,2 bitcoins or 160 USD Dollars to the bitcoin adress specified belowwith your email address to send you the decryption key. If you do not have bitcoins you can buy them from www.localbitcoins.com. Thank you!




Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *