Если вы не видите здесь изображений, то используйте VPN.

вторник, 24 января 2017 г.

VxLock

vxLock Ransomware

vxCrypter Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, другое: vxCrypt. Разработчик: Arkade. Разработан в Visual Studio 2010. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vxLock

Образец этого крипто-вымогателя был обнаружен в январе 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***



Технические детали


Находится в разработке. Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Проверяется наличие в системе отладчиков, песочницы и пр. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
vxLock.exe
dw20.exe
<random>.exe
<random>.ini

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Intezer Analyze анализ >>
Any.RUN анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


VxLock - январь 2017
vxCrypter - март 2019


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 29 марта 2019:
Пост в Твиттере >>
Пост в Твиттере >
Статья об этом варианте >>
Самоназвание: vxCrypter
Расширение: .xLck
Email: vxbtcpro@protonmail.com
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5***
Особенности: 
- удаляет некоторые файлы, вместо их шифрования;
- наблюдаются сбои и глюки в работе;
- до сих пор находится в разработке. 
Целевые файловые расширения:
.7z, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cpp, .csv, .db, .doc, .docx, .fla, .flv, .gif, .h, .hpp, .htm, .html, .java, .jpeg, .jpg, .jsp, .key, .mdb, .mpeg, .odt, .pem, .php, .pl, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .reg, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .tar, .tgz, .tgz, .tif, .tiff, .txt, .wmv, .xls, .xlsx, .xml, .xsd, .zip (56 расширений). 
Отслеживает хэши SHA256 каждого зашифрованного файла, а затем удаляет файлы, которые он считает дубликатами, с тем же хэшем SHA256. 

Для других файлов (.exe, .dll), дубликаты файлов не удаляются.
Результаты анализов: VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VxLock)
 Write-up
 Thanks: 
 Jiri Kropac
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *