суббота, 21 января 2017 г.

CloudSword

CloudSword Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Windows Update. Вероятно, пока еще в разработке. 

© Генеалогия: Hidden Tear >> CloudSword 

К зашифрованным файлам добавляется расширение .***

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Warning警告.html

Содержание записки о выкупе на английском:
Warning
Because you violated Digital Millennium Copyright Act, all your important files have been locked
You must pay "+Network.amount+" bitcoin to the address below within five days, otherwise your unlock key will be lost forever
Network.getAddress()
To unlocked your files and find instructions, go to
***dw2dzfkwejxaskxr.onion.to/chk/""
If you are using Tor, go to
If you don't know how to get bitcoins, go to
***renrenbit.com ***coinbase.com
Or email "+Network.email+"
Do not try decrypt yourself or use other tools
Here lists all encrypted files:
REMINDER: You have only FIVE days to make full payment

Перевод записки на русский язык:
Предупреждение
Так как вы нарушили "Закон об авторском праве", все ваши важные файлы заблокированы
Вы должны заплатить "+ Network.amount +" bitcoin по адресу ниже за пять дней, или ваш ключ разблокировки пропадёт
Network.getAddress ()
Чтобы разблокировать ваши файлы и найти инструкции, идите
***dw2dzfkwejxaskxr.onion.to/chk/""
Если используете Tor, идите
Если не знаете, как получить Bitcoins, идите
***renrenbit.com ***coinbase.com
Или по email "+ Network.email +"
Не пытайтесь сами дешифровать или другими тулзами
Здесь перечислены все зашифрованные файлы:
НАПОМИНАНИЕ: У вас лишь 5 дней для полной оплаты

Не проявляет активности и пытается спать в течение длительного времени (от 2 до 5 минут). Имитирует фальшивый процесс Windows Update.exe. 
Проверяет наличие в системе антивирусных программ, например, 360 Internet Security, Kaspersky. Пытается завершить работу файервола или вызвать сбой в его работе. 

Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
 bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для нормальной отработке в системе вымогателя требуется наличие в системе .NET Framework 4.5. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arch00, .bson, .d3dbsp, .DayZProfile, .dbfv, .divx, .docx, .epub, .forge, .hkdb, .hplg, .html, .ibank, .java, .jpeg, .layout, .mcgame, .mdbackup, .menu, .mpeg, .mpqge, .mrwref, .pptm, .rofl, .sc2save, .sqlite, .syncdb, .text, .unity3d, .vfs0, .wotreplay, .xlsb, .xlsx, .ztmp (35 расширений). 

Это документы MS Office, текстовые и веб-файлы, базы данных, фотографии, видео, файлы сохранений и пр.

Файлы, связанные с этим Ransomware:
cloudsword.exe
<random>.exe

<random>.pdf.exe

%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (only this article)
 Thanks: 
 BleepingComputer
 myself
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton