среда, 18 января 2017 г.

GarryWeber

GarryWeber Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с шифруются с использованием сочетания RSA, AES-256 и SHA-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название дано по логину email вымогателей. Оригинальное, указанное на исполняемом файле: FileSpy и FileSpy Application.

© Генеалогия: X3M > GarryWeber > SteaveiWalker > CryptON

К зашифрованным файлам добавляется расширение .id-<ID>_garryweber@protonmail.ch

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW_OPEN_FILES.html


Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Краткой запиской также выступает изображение, встающее обоями рабочего стола. Фразы написаны на португальском и английском с ошибками, указывают на файл HOW_OPEN_FILES.html

Todos os seus arquivos estão criptografados!
All your files are encrypted!
Abra o arquivo "HOW_OPEN_FILES" no seu desktop para mais informações.
Open icon from desctop: "HOW_OPEN_FILES" for more information.

Перевод на русский: 
Все ваши файлы зашифрованы!
Откройте файл на рабочем столе "HOW_OPEN_FILES" для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (invoice-<ID>.js), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .jpg, .mp3, .pdf, .png и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW_OPEN_FILES.html
<random>.exe
FileSpy.EXE
invoice-0071350.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
91.240.87.250/panel/index.php
greenparcel.club (70.35.207.55 - США)
vitali2001by@yahoo.co.uk - см. тот же email в обновлениях Spora
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (joint ID as CryptON)
 Write-up
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *