PE32 Ransomware: Новая угроза на основе Telegram

PE32 Ransomware начинает шифрование после простого запроса и нацелен на видимые папки, включая Рабочий стол. Он предлагает два уровня оплаты: один для разблокировки файлов и другой для предотвращения утечки данных. Этот штамм общается через Telegram Bot API.

PE32 Ransomware прост в анализе, поскольку данные о его активности легко извлекаются с помощью песочницы. Он шифрует не только полезные файлы, но и бесполезные, уничтожает файлы-маркеры и запускает восстановление диска.

Штамм PE32 Ransomware не использует обфускацию или уловки для уклонения, а полагается на базовые библиотеки Windows. Хотя он еще незрелый, уже представляет угрозу из-за плохой гигиены безопасности.

После выполнения PE32 Ransomware ждет ввода оператора и начинает шифровать файлы, начиная с видимых мест, таких как рабочий стол. При этом, вместо того чтобы бросать записку с выкупом на рабочий стол, он создает специальную папку с внутренними файлами, включая записку о выкупе, которая отличается двухуровневой моделью оплаты.

PE32 Ransomware использует Telegram в качестве канала C2, скрывая окно своего процесса и переходя в фоновый режим. Он транслирует свою активность в группу Telegram через Bot API и подробно описывает каждый шаг выполнения. Цены за разблокировку файлов варьируются, в зависимости от цели атаки - от $700 до $7,000 для индивидуальных машин или серверов и от $10,000 до 2 BTC для корпоративных целей.

SHA256

• 098ee778fca1bfd809499dac65f528ea727f2aee9c6eaf79fe662d9261086e4a
• 15cb6bd05a35fdbd9a7e53b092a1b0537c64cb5df08ee0262479c0cc24eafd8a
• 5946bdeb8b7bf0603e99cefb15c083a37352fa8a916b2664bbb9f9027f44985b
• 9e561018034479df1493addca30f1d031b9185e1d66f15333b8ea79d16acf64b
• c6ddc9c2852eddf30f945a50183e28d38f6b9b1bbad01aac52e9d9539482a433