Donald Trump Ransomware
(фейк-шифровальщик)
Название получил от использованной фотографии Дональда Трампа, известного кандидата в президенты США. Его имя вымогатели также вывели в название экрана блокировки.
К зашифрованным файлам добавляется расширение .ENCRYPTED.
Текстовых записок с требованием выкупа нет.
Распространяется с помощью email-спама и вредоносных вложений.
В этой, находящейся в стадии разработки версии, можно просто нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена. Но функционал шифрования всё же есть, только пока не реализован.
Ввиду того, что среди целевых файлов есть файлы для Minecraft, можно заключить, что целью вымогателей были пользователи именно этой игры.
Список файловых расширений, подвергающихся шифрованию:
.7z, alts.json, .assets, .avi, .bukkit.jar, .cfg, .css, .csv, .csv, .dat, .dat_mcr, .dll, .doc, .docx, .flv, .gif, .html, .icarus, .ico, .ini, .Ink, .itl, .java, .jpeg, .jpg, .js, .litemod, .log, .lvl, .m3u, .mca, .mdbackup, .menu, .Minecraft, .mp3, .mp4, .odt, .pak, .php, .png, .ppt, .pptx, .psd, .pub, .rar, .raw, .resource, .rtf, .sav, .sidn, .sk, .sln, .swf, .tax, .tex, .txt, .vb, .wma, .wmv, .wolfram, .xcf, .xml, .xxx, .yml, .zip (66 расширений, включая специальные файлы для Minecraft).
Файлы, связанные с Donald TrumpRansomware:
CRPT-TRX.exe
<random_name>.exe
Записи реестра, связанные с Donald Trump Ransomware:
См. ниже гибридный анализ.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Maldun анализ >>
Malwares анализ >>
Т.к. файлы всё же не шифруются, то Donald Trump Ransomware я отношу к фейк-шифровальщикам.
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Write-up on BC * * *
Thanks: Lawrence Abrams
© Amigo-A (Andrew Ivanov): All blog articles.