Если вы не видите здесь изображений, то используйте VPN.

пятница, 23 декабря 2016 г.

Guster

Guster Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,4 биткоина, чтобы вернуть файлы. Название оригинальное. Разработчик: nickolas

© Генеалогия: HiddenTear >> Guster

К зашифрованным файлам добавляется расширение .locked

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
All of your files (documents, videos, photos, musics, pdfs, etc) have been encrypted with a strong military cryptography.
The only way you have to get your files back to you, is paying a fee of 0.4 bitcoins, which worth something about 300,00 USD.
You can buy bitcoins in various sites all over the web, like localbitcoins.com and various others. If you try to delete me or something funny,
I SWEAR I'll blow up your whole files and you're never going to see it again.
It's serious!
You have 48 hours to pay me these bitcoins or you'll never get to see yours files again! You’re warned!
Follow these steps in order to get your files back:
1 - Go to a Bitcoin exchange sale and buy exactly 4 BTCs
1.1 -  You can take a look at some of these sort of sites here https://www.bestbitcoinexchange.io
2 - Send an email with your ID to nucklearsupport@yandex.ru
3 - Wait for a email-reply with more instructions
3.1 - It may take about 6-8 hours, if it takes more than that, send the email again. FAAAST!
3.2 - Remember! You have only 48 hour, so you better hurry up!
4 - After following all the steps (including email reply steps), you'll get the PASSWORD  to decryption.
5 - Type the password in the indicated field
6 - Click on 'Decrypt'
7 - It's done. Your files will be decrypted!
Your ID: ***

Перевод записки на русский язык:
Все файлы (документы, видео, фото, музыка, PDF и т.д.) были зашифрованы с сильной военной криптографией.
Только одним способом вы можете получить ваши файлы обратно, платить взнос в размере 0,4 биткоина, это около 300,00 долларов США.
Вы можете купить биткойны в разных местах по всей сети, как localbitcoins.com и другие. Если вы попробуете удалить меня или что-то учудить,
Я клянусь, что я взорву целые файлы и вы никогда не увидите их снова.
Это серьезно!
У вас есть 48 часов, чтобы заплатить мне эти биткоины или никогда не увидите свои файлы! Вы предупреждены!
Выполните следующие действия для того, чтобы получить файлы обратно:
1 - Перейти к Bitcoin обмену продаже и купить ровно 4 BTC
1.1 - Вы можете посмотреть на некоторые подобные сайты здесь https://www.bestbitcoinexchange.io
2 - Отправьте по email с вашим ID для nucklearsupport@yandex.ru
3 - Подождите почтового ответа с дополнительными инструкциями
3.1 - Это может занять около 6-8 часов, если длится больше, отправьте email снова. БЫЫЫСТРО!
3.2 - Помните! У вас есть только 48 часа, так что лучше поторопиться!
4 - После выполнения всех шагов (включая шаги ответа по email), вы получите пароль для дешифрования.
5 - Введите пароль в указанном поле
6 - Нажмите на 'Decrypt'
7 - Сделано. Ваши файлы будут расшифрованы!
Ваш ID: ***

Этот Ransomware использует VBS-скрипт для речевого сообщения первых двух предложений из записки с требованием выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Guster.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://goolserver.ultimatefreehost.in/proxy.php?idnt - C2
nucklearsupport@yandex.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Video review
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *