CockBlocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA (открытый и закрытый ключи), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное, использует ранее известное название. Разработка: monica & hannah.
Изображение не принадлежит шифровальщику
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .hannah
Активность этого криптовымогателя пока не замечена, найден в ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, когда разрабока будет закончена.
Запиской с требованием выкупа выступает скринлок "RansomwareDisplay".
Содержание записки о выкупе:
Yo file's been encrypted nigga
Pays me a bitcoin and I unencrypt them fam
Тво файлы зашифрованы нигга
Платить мне биткоин и я расшифровать их фам
Распространяться после доработки и выхода в финал может с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
Cockblocker.exe
cockblocker.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
vboxsvr.ovh.net
collabvm.xyz (146.198.249.193, США)
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Malwr анализ >> Ещё >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter ID Ransomware (ID as CockBlocker) Write-up on BC *
Thanks: Jiri Kropac Michael Gillespie Lawrence Abrams Jaromir Horejsi
© Amigo-A (Andrew Ivanov): All blog articles.