Если вы не видите здесь изображений, то используйте VPN.

пятница, 23 февраля 2018 г.

Mobef-Salam

Mobef-Salam Ransomware

maktoob786 haraam

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы узнать, как вернуть файлы и заплатить выкуп в биткоинах. Оригинальное название: не указано. На файле может быть написано, что угодно. Вымогатели скрываются под именем: Abu Backer. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Mobef >> Mobef-Salam

К зашифрованным файлам никакое новое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пострадавшие, главным образом, из Италии. 

Записка с требованием выкупа называется: READ.4YOU
К ней добавляется специальный текстовый файл с ключом: Bismillah.KEI
Другим информатором жертвы выступает изображение, встающее обоями Рабочего стола. 

Содержание записки о выкупе:
APPID: 2xxxxx
COMPUTER: COMP
LOGIN: admin
*******
salam. haha sorry i kript ur filez. they safe, so no needs w0rring. but u cant break my l33t cipher, if u wanna back filez email me quick 0k? you pay me bitcoins...
maktoob786@takfir24.net
byezzzzz
c:\windows\2xxxxx.log

Перевод записки на русский язык:
APPID: 2xxxxx
COMPUTER: COMP
LOGIN: admin
*******
Салям. Хаха жаль, я зашифровал файлы. они безопасны, так что не паникуйте. нельзя сломать мой шифр l33t, если хотите вернуть файл email мне быстро ок? вы платите мне биткоины ...
maktoob786@takfir24.net
байззззз
c:\windows\2xxxxx.log


Содержание файла Bismillah.KEI :
AE26A372*****19508AEDE1

Эти 1024_знака - это ключ в шаблоне [09_A-Z] - цифры, буквы.




Технические детали

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .img, .pdf, .rar, .txt и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
result.exe - исполняемый файл вымогателя
<random>.exe - файл со случайным названием
READ.4YOU - записка о выкупе
Bismillah.KEI - файл с ключом
2xxxxx.log - журнал с именами зашифрованных файлов
<image> - изображение, заменяющее обои

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: mutaween.sa
Email: maktoob786@takfir24.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



Обновление от 16 марта 2018:

Топик на форуме >>
Новое расширение не добавляется. 
Пострадавшие в Италии. 
Email: haraam@takfir24.net, haraam@alayam24.net
Файлы: G0D.KEI, OPEN.ME1, 4883xxx.log
<< Скриншот содержания файлов
Содержание файла G0D.KEI :
***1024_знака*** - ключ в шаблоне [09_A-Z] - цифры, буквы
Содержание файла OPEN.ME1 :
APPID:4xxxxxx
COMPUTER:MYCOMP
LOGIN:administrator
*******
pay me bitcoins to get files back
haraam@takfir24.net, or
haraam@alayam24.net
C:\Windows\4xxxxxx.log
Адреса в записках фиктивные.
URL takfir24.net перенаправляет на www.alhilalalyoum.com (на арабском, Египет)
URL alayam24.net перенаправляет на www.alayam24.com (на арабском, Марокко)






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Mobef)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *