понедельник, 15 мая 2017 г.

Fake WannaCry

Fake WannaCry Ransomware

Fake WanaCryptor Ransomware

(группа шифровальщиков, подражателей и фейк-шифровальщиков)


   Успех, который пришёлся на долю крипто-вымогателя WanaCrypt0r 2.0 семейства WannaCry, использовавшего NBA Exploit и бэкдор DoublePulsar, вызвал приступы зависти у других вымогателей и толкнул их на создание фейков-подражателей, полностью или отчасти имитирующих внешний вид WanaCrypt0r 2.0. Это им нужно для того, чтобы вынудить напуганную жертву поскорее перевести выкуп. Некоторые из них вообще не доведены до ума и даже не пытаются шифровать файлы. 


Такое поведение мы уже наблюдали раньше для других нашумевших крипто-вымогателей (CryptoWall, CryptoLocker, TeslaCrypt, Locky, Cerber, Globe пр.), но в этом году это первый масштабный поток подражателей. Обо всех рассказать невозможно, потому расскажем лишь о тех, про которых удалось собрать сведения, позволяющие идентифицировать вымогателя как подражателя. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private


DarkoderCryptor Ransomware
Другие названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor.
Реально шифрует данные с помощью AES и требует в качестве выкупа $300 в биткоинах. 
К зашифрованным файлам добавляет расширение .DARKCRY 
Читайте отдельное описание этого вымогателя на отдельной странице по ссылке


Aron WanaCrypt0r 2.0 Generator v1.0
Разработан как настраиваемый генератор WannaCry Ransomware. Позволяет создать свой собственный экран блокировки WannaCry, где новый разработчик сможет настроить текст, изображения и цвета экрана блокировки, которые будут использоваться в новом исполняемом файле WanaCrypt0r. 
Распространяется под именем Wanacrypt0r 2.0.exe
Результаты анализов: VT


Wana Decrypt0r 2.0
Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Распространяется под именем MS17-010.exe.
Результаты анализов: VT

Wana Decrypt0r 2.0 (другой)
Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Если приглядеться, то видно, что отличается от предыдущего подражателя шрифтами на экране блокировки и другим BTC-кошельком. 
Распространяется под именем R6Tools.exe.
Результаты анализов: VT


Wanna Crypt v.2.5
Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Visual Studio 2017
Результаты анализов: HA+VT


WannaCrypt 4.0
Ничего пока не шифрует, а только показывает экран блокировки. 
В экране блокировки языком по умолчанию установлен тайский. Оригинальный WanaCrypt0r 2.0 не поддерживает тайский язык, значит разработчик этого фейка видимо из Таиланда.
Распространяется под именем WannaCrypt 4.0.exe.
Результаты анализов: VT


Wanna Subscribe 1.0
Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Java
Распространяется под именем Wanna Subscribe Decrypt0r v1.0.exe
На файле указано название продукта: Java Executive by Jar2Exe
Результаты анализов: VT


Активность этих вымогателей выявлена сразу после атаки WanaCrypt0r 2.0, т.е. после 12 мая 2017 г. и далее продолжилась. Тексты в основном на английском, но немало и региональных: на китайском, испанском, португальском, тайском. Впрочем, новые вымогатели-подражатели без труда могут заимствовать текст из ресурсов WanaCrypt0r. 

Степень распространённости: не определена.
Подробные сведения собираются регулярно. Присылайте образцы. 


 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *