понедельник, 14 августа 2017 г.

MMM

MMM Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью сочетания RSA + AES + HMAC, а затем требует выкуп в 1.2 BTC, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .0x009d8a

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RESTORE_0x009d8a_FILES.html

Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR: QRM2TR6***
What happend with my files?
All your databases corrupted. All your files has been locked ( encrypted) with Ransomware
 For encrypting we using strong cryptographic algorithm AES256+RSA-2048 .Do not attempt to recover the files yourself.
 You might corrupt your files. We also rewrite all old blocks on HDD and you don`t recover your files with Recuva and other... 
 YOU HAVE ONLY 6 DAYS FOR BUY YOUR DECRYPTION TOOL 
 It is not advised to use third party tools to decrypt,if we find them you ,you will forever lose your files. 
How i can restore my files?
Go to BTC exchange services and buy 1,2 Bitcoin 3) Send it to address 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT and write us email to address unransom@mail.com for giving your key and decryption tool. In subject write your Unique ID 
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Online wallets: BlockchainInfo, Block.io 

Перевод записки на русский язык:
ВАШ УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР: QRM2TR6 ***
Что случилось с моими файлами?
Все ваши базы данных повреждены. Все ваши файлы заблокированы (зашифрованы) с помощью Ransomware
  Для шифрования мы используем сильный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь самостоятельно восстановить файлы.
  Вы можете повредить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстанавливаете свои файлы с помощью Recuva и других ...
  У ВАС ЛИШЬ 6 ДНЕЙ ДЛЯ ПОКУПКИ ИНСТРУМЕНТА ДЕШИФРОВАНИЯ
  Не рекомендуется использовать сторонние инструменты для дешифрования, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
Перейдите на службы обмена BTC и купите 1,2 Bitcoin 3) Отправьте их на адрес 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT и напишите нам на email-адрес unransom@mail.com для предоставления ключа и дешифрования. В теме укажите свой уникальный идентификатор
Руководство по BTC:
Лучшие сайты обмена BTC: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Онлайн-кошельки: BlockchainInfo, Block.io 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT
Email: unransom@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MMM)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *