Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 6 ноября 2016 г.

FuckSociety

FuckSociety Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное.

Предыдущие вымогатели со схожим названием: FSociety, Fs0ciety Locker

© Генеалогия: Hidden Tear >> APT Ransomware + RemindMe > FuckSociety 

К зашифрованным файлам добавляется расширение .dll.
Имена файлов не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT_YOUR_FILES.HTML
Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
Society
All your files have been encrypted with Fuck Society Ransomware
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique ,strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt: 57002ca9-084a-47c3-9390-0e625389c2ae
FOR DECRYPT YOUR FILES , BUY YOUR UNIQUE DECRYPTION CONFIG:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
 In file you find link to decryptor , and link to decryption config file
Make your Bitcoin Wallet on:
blocl.io
coinbase.com
blockchain.info
YOU CAN BUY BITCOINS ON:
btc-e.nz
localbitcoins.com
AND OTHER EXCHANGE SITES.

Перевод записки на русский язык:
Общество
Все ваши файлы были зашифрованы с Fuck Society Ransomware
У вас есть 5 дней, чтобы заплатить или все ваши файлы будут удалены!
Для каждого файла уникальный, сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- Все ваши попытки восстановить файлы самому, приведут к потере возможности восстановления, и мы не будем помогать вам.
Ваш уникальный ID для дешифрования 57002ca9-084a-47c3-9390-0e625389c2ae
Для дешифрования файлов купите ваш уникальный config-файл дешифрования:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
В файле вы найдете ссылку на декриптор, а также ссылку на config-файл дешифрования
Создайте свой Bitcoin-кошелёк:
blocl.io
coinbase.com
blockchain.info
Вы можете купить Bitcoins на:
btc-e.nz
localbitcoins.com
И другие сайты обмена.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.accdb, .adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .cdr, .css, .csv, .dbf, .doc, .docx, .dwf, .dwg, .ecw, .eps, .frm, .html, .jpeg, .jpg, .js, .mdb, .msg, .odt, .pdf, .php, .pix, .png, .ppt, .pptx, .psd, .qbb, .qbo, .qbw, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .tif, .tlg, .txt, .xls, .xlsx, .xml (49 расширений). 

Примечательно, что этот список заимствован создателями вредоноса у другого крипто-вымогателя RemindMe, но был дополнен. 

Файлы, связанные с FuckSociety Ransomware:
DECRYPT_YOUR_FILES.HTML
FSociety.exe
report.exe

Записи реестра, связанные с FuckSociety Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

ИтогоЭтот вымогатель представляет собой Mix (смесь, мешанину) из разных составляющих, включенных в него из других крипто-вымогателей. Разумеется, это сделано с целью запутать исследователей и еще сильнее деморализовать пострадавших. 
FuckSociety Mix: 
FSociety - имя exe-файла от других с похожим названием FSociety;
Extension set - от RemindMe + 19 новых расширений;
FuckSociety расширение .dll + записка DECRYPT_YOUR_FILES.HTML

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as FuckSociety)
 Video review
 *
 Thanks: 
 Michael Gillespie
 CyberSecurity GrujaRS
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *