воскресенье, 8 января 2017 г.

Nemesis

Nemesis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 10 или больше биткоинов, чтобы вернуть файлы. Сумма выкупа определяется автоматически. Название оригинальное, указано в записке о выкупе. Разработчик: Nemesis Team. 

© Генеалогия: X3M ⟺ Nemesis ⟺ СryptON 
Все они делаются, видимо, одной командой разработчиков-вымогателей, но используются для разных целей. Для атаки на серверы компаний используется Nemesis и другие их крипто-вымогатели, а семейство X3M и СryptON — для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы.  

К зашифрованным файлам добавляется расширение .v8dp или .63vc4 или любое другое случайное четырёх или пятизначное. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important fíles have been encrypted! To decrypt your files you need to buy the special software - «Nemesis decrypt»
To obtain decryptor, please, contact me by email: nemesis-decryptor@india.com
********************OR******************
Write me in online Service: https://bitmsg.me
Address: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ*****
Your personál identification ID: id-8932*****

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы! Для расшифровки файлов вам надо приобрести специальную программу - «Nemesis decrypt»
Для получения декриптора, пожалуйста, свяжитесь со мной, по email: nemesis-decryptor@india.com
********************ИЛИ******************
Напиши мне в онлайн-сервис: https://bitmsg.me
Адрес: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ *****
Ваш персональный идентификационный ID: ID-8932 *****

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, серверные файлы, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
nemesis-decryptor@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 апреля 2017:
Пост в Твиттере >>
Видеообзор от GrujaRS >>
Записка: ### DECRYPT MY FILES ###.html
Расширение: .id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Пример зашифрованного файла: file_name.doc.id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Скриншоты записки и Tor-сайта вымогателей: 
********************************************************




 Read to links: 
 Topic on BC
 ID Ransomware
 Write-up
 *
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *