Если вы не видите здесь изображений, то используйте VPN.

пятница, 1 декабря 2017 г.

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Want Money Ransomware. Разработчик: TheYuCheng.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: XiaoBa >> WantMoney

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Want Money_.txt
На этом скриншоте записка вместе с экраном блокировки. 

Другим информатором жертвы выступает изображение _Want Money_.bmp, встающее обоями Рабочего стола. Это изображение в стиле Petya Ransomware. 


Содержание записки о выкупе:
Simplified Chinese:
*** 中文相似的文字 ***
*** similar text in Chinese ***
*** тот же китайский текст ***

English:
Can not find the file you need?
Can not open your file?
Do not worry, all your files are only encrypted by "Want Money Ransomware."
Want to retrieve all your files? You only have to pay a small fee
Send 0.1 bitcoins to the following address:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
After payment send e-mail to the specified e-mail address
E-mail address: B32588601@163.com
Mail title: Request to decrypt
E-mail content: Your ID + your payment information
After sending you will get a reply, reply to the message contains the Key, please enter in the input box to decrypt the file.
What is Bitcoin? Please go to Baidu or Google search for details
There are more questions? Please contact email: B32588601@163.com
note! Please do not modify the file after the stop, or the file will not be restored, try not to restart the system.

Перевод записки на русский язык:
Не можете найти нужный файл?
Не можете открыть файл?
Не волнуйтесь, все ваши файлы зашифрованы "Want Money Ransomware".
Хотите получить все свои файлы? Вы должны заплатить небольшую плату
Отправьте 0.1 биткоина на следующий адрес:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
После оплаты отправьте письмо на указанный email-адрес 
Email-адрес: B32588601@163.com
Название письма: Request to decrypt (Запрос на дешифровку)
Содержимое email: ваш идентификатор + ваши платежные данные
После отправки вы получите ответ, ответ на сообщение содержит ключ, введите его в поле ввода, чтобы расшифровать файл.
Что такое биткойн? Пожалуйста, перейдите на Baidu или Google для поиска подробной информации.
Есть еще вопросы? Свяжитесь с нами по email: B32588601@163.com
заметка! Не изменяйте файл после остановки или файл не будет восстановлен, попробуйте не перезапускать систему.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Want Money_.txt
_Want Money_.bmp
619f2b5a609889b8_hcxn92m4j9.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: B32588601@163.com, TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *