вторник, 30 мая 2017 г.

Gomme

Gomme Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Gomme Ransom. На файле написано: gmm33.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .gommemode

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
=====Gomme Ransom=====
ALL OF YOUR FILES HAVE BEEN ENCRYPTED!
Everything, Music, Documents, Programs etc, has been encrypted!
WARNING: IF YOU RESTART YOUR COMPUTER WE WON’T BE ABLE TO RESTORE YOUR FILES & YOU WILL LOSE THEM FOREVER!
How can I get my files back?
You will need to pay $25, as soon as you did, you will receive your files back.
You will find the 'TOR Browser' on your desktop.
lf you don't own BTC, purchase some at paxful.com or localbitcoins.
SEND THE MONEY TO THIS ADDRESS: 
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Перевод записки на русский язык:
=====Gomme Ransom=====
Все ваши файлы были зашифрованы!
Все, музыка, документы, программы и т.д. были зашифрованы!
Предупреждение. Если вы перезагрузите компьютер, мы не сможем восстановить ваши файлы, и вы потеряете их навсегда!
Как я могу вернуть свои файлы?
Вам нужно будет заплатить 25 долларов, как только вы это сделаете, вы получите свои файлы обратно.
На рабочем столе вы найдете «TOR-браузер».
Если вы не имеете BTC, купите их на paxful.com или localbitcoins.
Отправьте деньги по этому адресу:
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
gmm33.exe
TORBrowser.exe

Расположения:
/Desktop/TORBrowser.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://fatulatti.pro/gommeransom/1231.php
xxxx://fatulatti.pro/gommeransom/btc.txt
Ранее мной с адреса fatulatti.pro/gommeransom/1231.php получен код justajokem9
Сейчас fatulatti.pro/gommeransom/btc.txt - показывает BTC-адрес 3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+ 
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *