Gomasom Ransonware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно.
© Генеалогия: Gomasom > RotorCrypt
Этимология названия:
Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM, потому что для выкупа использовались email-адреса почтовой службы Gmail.
Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "original_filename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt
Email-адреса из такого расширения служат для связи между жертвой и злоумышленниками.
Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt
Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com
Записки о выкупе (текстовые и изображения) называются:
de_crypt_readme.txt
de_crypt_readme.html
de_crypt_readme .bmp
de_crypt_readme.png
После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными.
Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe
Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>
Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск.
Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже.
Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware.
Степень распространенности: средняя.
Подробные сведения собираются.
Внимание!!!
Для зашифрованных файлов есть декриптер.
