вторник, 11 июля 2017 г.

NZMR

NZMR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название не указано. На файле написано: eda2.exe. Разработчик: Team NZMR (darkpc).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> NZMR

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, загружаемое с сайта: imgur.com

Содержание текста о выкупе:
YOUR COMPUTER IS HACK
ALL FILE THIS COMPUTER IS CRYPT
IF YOU WANT TO RECOVER YOUR FILES BEFORE THEY ARE REMOVED. YOU HAVE 24 HOURS TO SEND $ 500 TO THE DIRECTION OF BITCOIN THAT IS INDICATED BELOW:
ADDRESS: 1Dh6zY9U1V3XJELDh8hQdox3eR765XyR4H
ONCE YOU MAKE THE SENDING CONTACT BY EMAIL TO THE SOGUIENTE ADDRESS:
E-mail: sporter4499@protonmail.com
PROVIDE YOUR DATA FOR THE RECOVERY OF LOCKED FILES
THANK YOU VERY MUCH
TEAM NZMR

Перевод текста на русский язык (без коррекции ошибок):
Ваш компьютер взломан
Весь файл этот компьютер крипт
Если вы хотите восстановить файлы до их удаления. У вас есть 24 часа, чтобы отправить 500 долларов на биткоин-адрес, который указан ниже:
Адрес: 1dh6zy9u1v3xjeldh8hqdox3er765xyr4h
После того, как вы отправите контакт на email следующий адрес:
E-mail: sporter4499@protonmail.com
Давать ваши данные для восстановления блокированных файлов
Большое вам спасибо
Команда NZMR

Ошибки: 
SOGUIENTE - правильно: siguiente (по-исп. "следующий").

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.jpg (y8q3H4q.jpg)
nz11cry.exe (eda2.exe)

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://4meloyvv2z7lassu.onion.link/ed2/createkeys.php***
xxxx://4meloyvv2z7lassu.onion.link/ed2/savekey.php***
xxxx://i.imgur.com/y8q3H4q.jpg***
E-mail: sporter4499@protonmail.com
BTC: 1Dh6zY9U1V3XJELDh8hQdox3eR765XyR4H
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *