суббота, 10 декабря 2016 г.

UltraLocker

UltraLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $1000 в биткоинах, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt.

© Генеалогия: CryptoWire > UltraLocker

К зашифрованным файлам добавляется расширение .locked, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.locked.original_file_extension. 
Таким образом файл Important.docx станет Important.locked.docx

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "UltraLocker". 

Содержание текста о выкупе с экрана блокировки:
All your files have been encrypted contact wambeng.watson@gmail.com for decryption key after payment to the provided address has been done.
***
The only way you can recover your files is to buy decryption key by paying to this address: 1JP78***** the sum of money requested. 
The payment method is: Bitcoins. The price is $1000 = Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод текста на русский язык:
Все файлы были зашифрованы, контакт wambeng.watson@gmail.com для ключа дешифрования по указанному адресу только после сделанной оплаты.
***
Одним способом вы можете восстановить файлы, это купить ключ дешифрования, заплатив по этому адресу: 1JP78 ***** запрошенную сумму.
Способ оплаты: Bitcoins. Цена $1000 = Bitcoins
Нажмите на кнопку "Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае с документом Quotation200809.doc), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 
Использованное вложение Quotation200809.doc

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Quotation200809.doc
Quotation1.exe
Art work sample.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
wambeng.watson@gmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *