понедельник, 13 марта 2017 г.

Project34

Project34 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей с указанием своего IP-адреса, чтобы узнать сумму выкупа за возврат файлов. Название получил от логина почты вымогателей.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К имени зашифрованных файлов добавляется почта вымогателей project34@india.com.

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г, но и в марте ещё продолжается. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ПАРОЛЬ.txt

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ НАХОДЯТЬСЯ ПОД ПАРОЛЕМ
ЧТОБЫ ПОЛУЧИТЬ ПАРОЛЬ
НАПИШИТЕ НАМ НА project34@india.com
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 20 ЧАСОВ
В СООБЩЕНИИ УКАЖИТЕ СВОЙ IP АДРЕСС
ЕГО МОЖНО УЗНАТЬ НА 2IP.RU

👾 Опять в тексте записки есть ошибки, которые ни один русский не сделает. Называть их не буду. Желающие их заметят, а неучи нерусские пусть повторяют как мантру. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Файл WindowsUpdate.exe запускает консоль, через неё запускает WinRar и архивирует все файлы в архив с паролем. Кажется, пропускает системные директории. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. файлы, которые принадлежат пользователю. 

Файлы, связанные с этим Ransomware:
ПАРОЛЬ.txt
WindowsUpdate.exe
<random>.exe

Расположение:
%UserProfile%\WindowsUpdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
project34@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Projct34)
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *