Gremit Ransomware
(шифровальщик-вымогатель)
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .rnsmwr.
Образец этого криптовымогателя был обнаружен в начале ноября 2016 г. Ориентирован на англоязычных пользователей.
Запиской с требованием выкупа выступает блокировщик экрана с заголовком "What happened?".
Содержание записки о выкупе:
What happened?
Most of your files have been encrypted. You'll need to pay to get them back.
Do not try to do stupid things, or i'll erase your whole Harddrive forever. It's just one click for me
and I don't care about your files.
How to Pay?
https://bitcoin.org/en/getting-started
Amount:
0.03 BTC [~19€ /~21$]
Send Bitcoin to the following Adress:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
You paid but you are still not able to decrypt your files?
Just turn off your computer and try again in some hours.
Перевод записки на русский язык:
Что случилось?
Большинство ваших файлов зашифрованы. Вам нужно заплатить, чтобы получить их обратно.
Не пытайтесь делать глупостей или я стиру весь ваш жёсткий диск. Это лишь один клик для меня и я не пожалею ваши файлы.
Как заплатить?
https://bitcoin.org/en/getting-started
Количество:
0.03 BTC [~ 19 € / ~ 21 $]
Отправить Bitcoin на следующий адрес:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
Вы заплатили, но вы еще не можете расшифровать свои файлы?
Просто выключите компьютер и повторите через несколько часов.
Находится в разработке. Шифруются все файлы в папке C:\Users\Tim\Desktop\encrypt\
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Нет списка.
Файлы, связанные с Gremit Ransomware:
Ransomware.exe
<Random_name>.exe
Gremit_ransomware.exe
Записи реестра, связанные с Gremit Ransomware:
См. ниже гибридный анализ.
Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттп://pastebin.com/raw/hH9hnfxY
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter * *
Thanks: Karsten Hahn PayloadSecurity *
© Amigo-A (Andrew Ivanov): All blog articles.