понедельник, 12 декабря 2016 г.

Slimhem

Slimhem Ransomware 

(шифровальщик-НЕ-вымогатель)


   Этот шифровальщик шифрует данные на USB-накопителях с помощью AES-256 (CBC-режим), а затем сохраняет на компьютер файл-декриптер. Название оригинальное, прописано в коде. Slimhem разработан с чистого листа, разработчик: TwoTen.

© Генеалогия: Slimhem: Начало.


Slimhem Ransomware
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .ENCRYPTED

Образец этого шифровальщика был обнаружен в декабре 2016 г. Ориентирован на англоязычных пользователей.

Записок с требованием выкупа НЕТ. 
Выкуп НЕ запрашивается. 

Не распространяется по классической схеме: с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Инструмент проникновения на ПК: RAT Mayhem

Шифрует файлы с ключом 5MqtmzLp4SlMAoRe. Имеет функционал проверки установленного в системе антивирусного ПО. Может взаимодействовать с предустановленными на компьютере серверами MySQL. Создан исключительно для изучения. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
Slimhem.exe
%APPDATA%\SysHelper\Slimhem.exe -  путь до исполняемого файла 
SlimhemDecrypt.exe - декриптер
<random>.exe
<random>.tmp
csc.exe
cvtrex.exe
download.exe
%TEMP%\e0jtf2y0.tmp
%TEMP%\e0jtf2y0.0.cs
%TEMP%\e0jtf2y0.cmdline
%TEMP%\e0jtf2y0.out
%TEMP%\e0jtf2y0.err
logs.dat
updates.dat

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов. 

Сетевые подключения:
***beastcoast.co.uk/molnet/index.php/s/dza0yzhXKfMoKPU/download***
155.4.107.23 (Швеция)
freegeoip.net/json/
stackoverflow.com/q/2152978/23354
james.newtonking.com/projects/json
stackoverflow.com/q/11564914
stackoverflow.com/q/14436606/
es.newtonking.com/projects/json

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 TwoTen
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *