среда, 1 февраля 2017 г.

DUMB

DUMB Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3169 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных и турецкоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: oku_beni.txt
Размещаются в каждой папке с зашифрованными файлами. Тот же текст написан также на экране блокировки. 
Реконструкция записки о выкупе

Скриншот экрана блокировки

Содержание записок о выкупе:
На английском: 
You have been struck with Ramsomeer
1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ
Your files have been encrypted, in fourty-eight hours the key to decrypt your files will be deleted unless you deposit 0.3169 bitcoins into our private bitcoin wallet. Do not shutdown your pc. When we received the bitcoin amount, your files will be recovered.
Send bitcoins to this address: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ

На турецком: 
Dosyalariniz sifrelendi, 48 saat icinde 0.3169 bitcoins gondermezsen dosyalariniz silinecek. Bitcoins asagidaki adrese gonder. Biz bitcoins alinca program dosyalari geri verecek otomatik.
Bu adrese bitcoins gonder: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ

Перевод записки на русский язык:
Вы были поражены Ramsomeer
Ваши файлы зашифрованы, через 48 часов ключ дешифрования ваших файлов будет удален, если вы не переведёте 0.3169 биткоина на наш Bitcoin-кошелек. Не отключайте ваш компьютер. Когда мы получим биткоины, ваши файлы будут восстановлены.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .cs, .css, .doc, .docx, .gif, .htm, .html, .ico, .jpeg, .jpg, .js, .png, .ppt, .pptx, .psd, .rar, .rtf, .txt, .vb, .xls, .xlsx, .zip (23 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe
oku_beni.txt
fatura_bilgi_2016_1921680123.pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1CYEW6eG8TL5RfsH22C91ByeRhcE5vsfpQ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 Write-up 
 ID Ransomware
 *
 Thanks: 
 Karsten Hahn
 Tomas Meskauskas (pcrisk.com)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *