понедельник, 6 февраля 2017 г.

Cancer

Cancer Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Название оригинальное. Фальш-имя: VirusTotal.exe


© Генеалогия: выясняется.


К фейк-зашифрованным файлам и папкам добавляется расширение .cancer


Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Обои заменяются на изображение ewwwwww~cancer.png от вымогателей с надписями по экрану "I HAVE CANCER".


Cancer UAC не обходит. При получении доступа ищет и завершает процессы, которые содержат любую из следующих строк: 
alarm, anti, antivirus, av, avast, avg, avira, cheat, cheatengine, clam, cloud, comodo, dbg, debug, debug, defend, dumpcap, engine, eset, falcon, f-secure, hunter, IDAq, idaq, immunity, kasp, malware, malwarebytes, monitor, nod, norton, OllyDbg, panda, protect, qihoo, quard, regshot, root,  Sandboxie, SandboxieDcomLaunch, SandboxieRpcSs, secur, secure, shark, spy, strike, vmtool, vmtools, vmware, zone.

Убедившись, никакая защита не может его обнаружить и остановить, этот вредонос начинает свистопляску на вашем компьютере, открывая и закрывая в бешеном темпе множество разных окон с процессами, одновременно запустив анимационное троллирование. 


 


Затем переименовывает диск C: в "CANCERRRRRRRRRRRRRRRRRRRRRRRRR".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые могут подвергнуться шифрованию, если оно вообще когда-то будет прикручено:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

VirusTotal.exe
<random>.exe
<random>.tmp
CANCER~91477.exe
CANCER~73110.exe
CANCER~53884.exe
CANCER~80569.exe
CANCER~85005.exe
CANCER~66139.exe
%LOCALAPPDATA%\ewwwwww~cancer.png

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

***hostingonline.desi (162.218.48.104:80 - США)
arran.bishop89@aol.com
Skype: jquery.finland
XMPP: jqueryxmpp@exploit.im
Контакты можно вынуть только из кода. Вымогатель видимо не доделан и не требует выкуп. 


Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.

Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet by BC
 ID Ransomware (ID as Cancer)
 Video review + Video review by BC
 Write-up on BC
 Thanks: 
 Michael Gillespie
 GrujaRS
 Lawrence Abrams, Catalin Cimpanu 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *