воскресенье, 8 января 2017 г.

Nemesis

Nemesis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 10 или больше биткоинов, чтобы вернуть файлы. Сумма выкупа определяется автоматически. Название оригинальное, указано в записке о выкупе. Разработчик: Nemesis Team. 

© Генеалогия: X3M ⟺ Nemesis ⟺ СryptON 
Все они делаются, видимо, одной командой разработчиков-вымогателей, но используются для разных целей. Для атаки на серверы компаний используется Nemesis и другие их крипто-вымогатели, а семейство X3M и СryptON — для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы.  

К зашифрованным файлам добавляется расширение .v8dp или .63vc4 или любое другое случайное четырёх или пятизначное. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important fíles have been encrypted! To decrypt your files you need to buy the special software - «Nemesis decrypt»
To obtain decryptor, please, contact me by email: nemesis-decryptor@india.com
********************OR******************
Write me in online Service: https://bitmsg.me
Address: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ*****
Your personál identification ID: id-8932*****

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы! Для расшифровки файлов вам надо приобрести специальную программу - «Nemesis decrypt»
Для получения декриптора, пожалуйста, свяжитесь со мной, по email: nemesis-decryptor@india.com
********************ИЛИ******************
Напиши мне в онлайн-сервис: https://bitmsg.me
Адрес: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ *****
Ваш персональный идентификационный ID: ID-8932 *****

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, серверные файлы, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
nemesis-decryptor@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 апреля 2017:
Пост в Твиттере >>
Видеообзор от GrujaRS >>
Записка: ### DECRYPT MY FILES ###.html
Расширение: .id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Пример зашифрованного файла: file_name.doc.id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Скриншоты записки и Tor-сайта вымогателей: 
********************************************************




 Read to links: 
 Topic on BC
 ID Ransomware
 Write-up
 *
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *