вторник, 27 декабря 2016 г.

PHP Ransomware

PHP Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > PHP Ransomware.

К зашифрованным файлам добавляется расширение .crypted

Активность этого крипто-вымогателя пришлась на декабрь 2016 г. 

Записки с требованием выкупа не создаются. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3gp, .7z, .accdb, .ai, .als, .arc, .arj, .asf, .asm, .aup, .avi, .backup, .bak, .bas, .blend, .bz, .bz2, .bza, .bzip, .bzip2, .cad, .cdr, .class, .cpp, .cpr, .cpt, .cs, .csv, .djvu, .doc, .docx, .dsk, .dwg, .eps, .fb2, .flv, .gpg, .gz, .gzip, .h, .ice, .img, .indd, .iso, .java, .jpeg, .jpg, .kdb, .kdbx, .lwo, .lws, .m3u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .ogg, .pas, .pdf, .pgp, .php, .pl, .pps, .ppt, .pptx, .psd, .pub, .py, .r00, .r01, .r02, .r03, .rar, .raw, .rm, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .sql, .ssh, .svg, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .vob, .wav, .wdb, .wma, .wmf, .wmv, .xls, .xlsx, .zip (122 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Если размер файла меньше 2048 байт, то он будет зашифрован полностью. Если больше, то у файла будут зашифрованы только 2048 байт. 

Файлы, связанные с этим Ransomware:
<random>.exe
PHP script & PHP code

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://med-lex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для PHP Ransomware >>
 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Write-up (add. December 30, 2016)
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Fabian Wosar
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *