суббота, 3 сентября 2016 г.

CainXPii

CainXPii Ransomware 

(фейк-шифровальщик) 


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 20 Евро с PaySafeCard, чтобы вернуть файлы обратно. Разработчик: Louis. Среда разработки: Visual Studio 2015.

© Генеалогия: Hitler > CainXPii

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера со своим окружением, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 20-евровой карты PaySafeCard и нажать кнопку "Unlock PC" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и что-то напортачил в коде, что отразилось ошибкой с .NET Framework. Оригинальные названия: CainXPii Ransomware, Hitler Ransomware и Ransomware. Видимо разработчик не определился с названием. 

UAC не обходит, требуется разрешение на запуск. Шифрование также не производится. По замыслу разработчика к зашифрованным файлам должно было добавляться составное расширение, у которого на конце было бы расширение .CainXPii

Если вымогатель сработает как задумано, то файлы на рабочем столе должны принять вид по шаблону: Hitler Ransomware_%num%.CainXPii

Образец этого криптовымогателя найден в конце сентября 2016 г. Ориентирован на англоязычных пользователей. 

Содержание текста о выкупе:
This IS Hilter RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
***

Перевод на русский язык:
Это Hilter RANSOMWARE
Внимание: Ваши файлы зашифрованы!!!!
чтобы вернуть ваш ПК, вы должны заплатить 20 € с PaySafeCard
Пожалуйста, введите код с карты в поле ниже: 
***

Распространяется с сайта, указанного в гибридном анализе. 

Email вымогателя, найденные в коде: 
vonyhd@gmail.com
Vazetv@gmail.com

Список файловых расширений, подвергающихся фейк-шифрованию:
Должны были шифроваться документы MS Office, PDF, фотографии, музыка, видео и пр.

Нарушаются ассоциации исполняемых файлов, которые приходится восстанавливать при помощи соответствующих фиксов. 

Файлы, связанные с этим Ransomware:
x.exe 
x.ini
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Video review
 Thanks: 
 MalwareHunterTeam
 GruyaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *