понедельник, 16 октября 2017 г.

Tyrant

Tyrant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $15, чтобы вернуть файлы. Оригинальное название: Tyrant и Crypto Tyrant. На файле написано: DUMB.exe. На уплату выкупа даётся 24 часа. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DUMB > Tyrant

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Текст на персидском языке. Вероятно ориентирован на иранских пользователей, потому имеет узконаправленное распространение. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
С распознаванием арабского текста есть трудности. 
Проще было бы иметь текстовую записку о выкупе. 

Краткий перевод записки на русский язык:
Ваши файлы зашифрованы. У вас есть 24 часа на уплату выкупа в $15 долларов. Дальнейшая сумма выкупа будет зависеть от срока, прошедшего после 24 часов... 
Дешифровщик файлов будет отправлен вам после получения оплаты. Если у вас возникнут вопросы, то свяжитесь с нами по email, мы ответим вам... 
Хвала Аллаху и в будущей жизни!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Злоумышленники распространили крипто-вымогатель Tyrant по видом программы Psiphon VPN и теперь пытаются вымогать у пострадавших пользователей деньги за дешифровку. Иранский CERTCC сообщил о множественных случаев взлома через незащищенную конфигурацию RDP.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rastakhiz@protonmail.com

@TtypeRns (в Telegram)
exchanging.ir
webmoney724.ir
webmoneybuy.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Через несколько дней после моей публикации CERTCC Ирана опубликовал предупреждение на своей официальной странице
Email: rastakhiz@protonmail.com

@TtypeRns (в Telegram)
exchanging.ir
webmoney724.ir
webmoneybuy.com



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *
Added later:
Write-up on BC. Добавлено 26 октября 2017. 
Write-up
*
 Thanks: 
 Karsten Hahn
 Callisto x
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton