понедельник, 13 марта 2017 г.

Project34

Project34 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей с указанием своего IP-адреса, чтобы узнать сумму выкупа за возврат файлов. Название получил от логина почты вымогателей.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К имени зашифрованных файлов добавляется почта вымогателей project34@india.com.

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г, но и в марте ещё продолжается. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ПАРОЛЬ.txt

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ НАХОДЯТЬСЯ ПОД ПАРОЛЕМ
ЧТОБЫ ПОЛУЧИТЬ ПАРОЛЬ
НАПИШИТЕ НАМ НА project34@india.com
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 20 ЧАСОВ
В СООБЩЕНИИ УКАЖИТЕ СВОЙ IP АДРЕСС
ЕГО МОЖНО УЗНАТЬ НА 2IP.RU

👾 Опять в тексте записки есть ошибки, которые ни один русский не сделает. Называть их не буду. Желающие их заметят, а неучи нерусские пусть повторяют как мантру. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Файл WindowsUpdate.exe запускает консоль, через неё запускает WinRar и архивирует все файлы в архив с паролем. Кажется, пропускает системные директории. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. файлы, которые принадлежат пользователю. 

Файлы, связанные с этим Ransomware:
ПАРОЛЬ.txt
WindowsUpdate.exe
<random>.exe

Расположение:
%UserProfile%\WindowsUpdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
project34@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Projct34)
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *