вторник, 7 февраля 2017 г.

Ransomuhahawhere

Cyber Drill Exercise

Ransomuhahawhere

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем просит прислать немного биткоинов, чтобы вернуть файлы. Оригинальное название Ransomuhahawhere, т.е. "Ransom u-ha-ha where". Создано якобы для обучения и упражнений в Cyber Drill. Фальш-имя: AdobeInstaller. Пока в разработке, т.к. шифрует файлы только в специальной папке. 

© Генеалогия: HiddenTear >> Ransomuhahawhere

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Размещается на рабочем столе в специальной папке cyberdrill

Содержание записки о выкупе:
Files has been encrypted with Ransomuhahawhere (Cyber Drill Exercise)
Send me some bitcoins!!
excon@cyberdrillexercise. com
And Please Analyze Me Well Ya..
Incase of emergency used this:
ckQ2U***

Перевод записки на русский язык:
Файлы были зашифрованы Ransomuhahawhere (Cyber Drill Exercise)
Пришли мне немного биткоинов!!
excon@cyberdrillexercise. com
И пожалуйста анализируйте меня..
В особом случае используй это:
ckQ2U***

В конце записки указан ключ дешифрования (15 байт). 
Биткоин-адрес не указан. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивый AdobeInstaller), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
AdobeInstaller.exe
Ransomuhahawhere.exe
\Desktop\cyberdrill\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ransomuhahawhere.cyberdrillexercise.com  (128.199.240.181:80 - Великобритания)
excon@cyberdrillexercise.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 Thanks: 
 Karsten Hahn
 BleepingComputer
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *