воскресенье, 26 марта 2017 г.

WannaCry

WannaCry Ransomware
WannaCryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в ??? биткоинов, чтобы вернуть файлы. Оригинальное название WannaCry. Фальш-имя:  Message Application. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Wcry > WannaCry

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !Please Read Me!.txt
***Образца пока нет***

Вторым информатором жертвы выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
Ooops, your important files are encrypted.
If you see this text, but don't see the "Wanna Decryptor" window, then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files, you have to recover "Wanna Decryptor" from the antivirus quarantine, or download from the address below:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Run "Wanna Decryptor" to decrypt your files!

Перевод записки на русский язык:
Ой, ваши важные файлы зашифрованы.
Если вы видите этот текст, но не видите окно «Wanna Decryptor», то ваш антивирус удалил программу дешифрования или вы удалили его с вашего компьютера.
Если вам нужны ваши файлы, вам нужно вернуть «Wanna Decryptor» из карантина антивируса или загрузить с указанного ниже адреса:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Запустите «Wanna Decryptor», чтобы расшифровать ваши файлы!


Окно Wanna Decryptor

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются командой:
cmd.exe /c start /b vssadmin.exe Delete shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!WannaDecryptor!.exe
!WannaDecryptor!.exe.lnk
!WannaCryptor!.bmp
!Please Read Me!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *