Если вы не видите здесь изображений, то используйте VPN.

среда, 18 января 2017 г.

GarryWeber

GarryWeber Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с шифруются с использованием сочетания RSA, AES-256 и SHA-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название дано по логину email вымогателей. Оригинальное, указанное на исполняемом файле: FileSpy и FileSpy Application.

© Генеалогия: X3M > GarryWeber > SteaveiWalker > CryptON

К зашифрованным файлам добавляется расширение .id-<ID>_garryweber@protonmail.ch

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW_OPEN_FILES.html


Содержание записки о выкупе:
Your files are encrypted!
To get the decryptor you should:
***
pay for decrypt
bitcoin adress for pay
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
***

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для получения расшифровки вы должны:
***
заплатить за расшифровку
биткоин-адрес для оплаты
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A

Краткой запиской также выступает изображение, встающее обоями рабочего стола. Фразы написаны на португальском и английском с ошибками, указывают на файл HOW_OPEN_FILES.html

Todos os seus arquivos estão criptografados!
All your files are encrypted!
Abra o arquivo "HOW_OPEN_FILES" no seu desktop para mais informações.
Open icon from desctop: "HOW_OPEN_FILES" for more information.

Перевод на русский: 
Все ваши файлы зашифрованы!
Откройте файл на рабочем столе "HOW_OPEN_FILES" для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (invoice-<ID>.js), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .jpg, .mp3, .pdf, .png и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW_OPEN_FILES.html
<random>.exe
FileSpy.EXE
invoice-0071350.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
91.240.87.250/panel/index.php
greenparcel.club (70.35.207.55 - США)
vitali2001by@yahoo.co.uk - см. тот же email в обновлениях Spora
BTC: 1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (joint ID as CryptON)
 Write-up
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *