CloudSword Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Windows Update. Вероятно, пока еще в разработке.
© Генеалогия: Hidden Tear >> CloudSword
К зашифрованным файлам добавляется расширение: данные не предоставлены
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: Warning警告.html
Содержание записки о выкупе на английском:
Warning
Because you violated Digital Millennium Copyright Act, all your important files have been locked
You must pay "+Network.amount+" bitcoin to the address below within five days, otherwise your unlock key will be lost forever
Network.getAddress()
To unlocked your files and find instructions, go to
***dw2dzfkwejxaskxr.onion.to/chk/""
If you are using Tor, go to
If you don't know how to get bitcoins, go to
***renrenbit.com ***coinbase.com
Or email "+Network.email+"
Do not try decrypt yourself or use other tools
Here lists all encrypted files:
REMINDER: You have only FIVE days to make full payment
Перевод записки на русский язык:
Предупреждение
Так как вы нарушили "Закон об авторском праве", все ваши важные файлы заблокированы
Вы должны заплатить "+ Network.amount +" bitcoin по адресу ниже за пять дней, или ваш ключ разблокировки пропадёт
Network.getAddress ()
Чтобы разблокировать ваши файлы и найти инструкции, идите
***dw2dzfkwejxaskxr.onion.to/chk/""
Если используете Tor, идите
Если не знаете, как получить Bitcoins, идите
***renrenbit.com ***coinbase.com
Или по email "+ Network.email +"
Не пытайтесь сами дешифровать или другими тулзами
Здесь перечислены все зашифрованные файлы:
НАПОМИНАНИЕ: У вас лишь 5 дней для полной оплаты
Технические детали
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Для нормальной отработке в системе вымогателя требуется наличие в системе .NET Framework 4.0 - 4.5.
Используя эту легитимную программу инициирует запуск с помощью команды:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe" /logfile= /LogToConsole=false /U "C:\Users\admin\AppData\Local\Temp\CloudSword.exe
➤ Не проявляет активности и пытается спать в течение длительного времени (от 2 до 5 минут). Имитирует фальшивый процесс Windows Update.exe.
Проверяет наличие в системе антивирусных программ, например, 360 Internet Security, Kaspersky. Пытается завершить работу файервола или вызвать сбой в его работе.
➤ Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Список файловых расширений, подвергающихся шифрованию:
.accdb, .arch00,
.bson, .d3dbsp, .DayZProfile, .dbfv, .divx, .docx, .epub, .forge, .hkdb, .hplg,
.html, .ibank, .java, .jpeg, .layout, .mcgame, .mdbackup, .menu, .mpeg, .mpqge,
.mrwref, .pptm, .rofl, .sc2save, .sqlite, .syncdb, .text, .unity3d, .vfs0, .wotreplay,
.xlsb, .xlsx, .ztmp (35 расширений).
Файлы, связанные с этим Ransomware:
cloudsword.exe
<random>.exe
<random>.pdf.exe
Windows Update.exe
Расположения:
%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe
Оригинальное название проекта:
cloudsword.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN сервис >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
CloudSword Ransomware - январь 2017
ABCLocker Ransomware - июль 2017
См. выше историю семейства.
© Amigo-A (Andrew Ivanov): All blog articles.
Windows Update.exe
Расположения:
%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe
Оригинальное название проекта:
cloudsword.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN сервис >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CloudSword Ransomware - январь 2017
ABCLocker Ransomware - июль 2017
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
См. выше историю семейства.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID under HiddenTear) Write-up (only this article)
Thanks: BleepingComputer, Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
