Nightmare Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать вымоагтелям на почту, чтобы вернуть файлы. Название является укороченным вариантом данного самими вымогателями: Dev-Nightmare 2XX9 Ransomware.
К зашифрованным файлам добавляется расширение .2xx9.
© Генеалогия: HiddenTear >> Nightmare
Записки с требованием выкупа называются: READ_ME.txt
Содержание записки о выкупе:
Congratulations!!!...
Your System is inficated with Dev-Nightmare 2xx9 Ransomware
Your All Files and database are encrypted.
If you want you files back contact me at devnightmare2xx9@gmail.com
Send me some money or bitcoins
And I hate fake peoples.
File Generated on + DateTime.Now.ToString()
Перевод записки на русский язык:
Поздравляем!!!...
Ваша система инфицирована Dev-Nightmare 2XX9 Ransomware
Все файлы и базы данных зашифрованы.
Если хотите файлы обратно пишите мне на devnightmare2xx9@gmail.com
Пришлите мне деньги или биткоины
И я ненавижу лживых людей.
Файл создан на + DateTime.Now.ToString ()
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
как минимум стандартный набор расширений для HiddenTear
Файлы, связанные с Ransomware:
READ_ME.txt
<random>.exe
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 27 июня 2018:
Пост в Твиттере >>
Заново найденный образец.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: Michael Gillespie, MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.