вторник, 2 января 2018 г.

Heropoint

Heropoint Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $20 в BTC, чтобы вернуть файлы. Оригинальное название: Heropoint Ransomware. На файле написано: HeropointRansomware.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К незашифрованным файлам никакое расширение не добавляется. После реализации шифрования, возможно, что-то будет добавляться. 

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
WHAT HAPPENED ?
Your precious files have been encrypted from my virus
How do i  adjust this?
Pay 20$ in bitcoin to get password
WHAT DO NOT HAVE TO DO?
Open the task manager
Open the cmd (command prompt)
Open Regedit and sethc.....
Run pc in Safe Mode
Delete rigestries from msconfig
WHAT DOES IT HAPPEN IF I DO NOT PAY?
Well .... to files, photos, texts, word / powerpoint projects you can say goodbye ...

Перевод текста на русский язык:
ЧТО СЛУЧИЛОСЬ ?
Ваши ценные файлы зашифрованы моим вирусом
КАК МНЕ УЛАДИТЬ ЭТО?
Платите 20$ в биткоинах за пароль
ЧТО НЕ НУЖНО ДЕЛАТЬ?
Откройте диспетчер задач
Откройте cmd (командную строку)
Откройте Regedit и sethc.....
Запустите ПК в Безопасном Режиме
Удалите rigestries из msconfig
ЧТО БУДЕТ, ЕСЛИ Я НЕ ЗАПЛАЧУ?
Ну .... файлам, фото, текстам, Word и Powerpoint -файлам можете сказать гудбай ...



Технические детали

После доработки и релиза может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, которые должны были подвергаться шифрованию: .exe, .htlm, .ico, .jpg, .mp3, .mp4, .png, .pptx, .txt, .xlsx (10 расширений).
Но из-за ошибки в функционале шифруются все файлы, без ограничений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HeropointRansomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Heropointyt@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Heropoint)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton