Saturday 26 May 2012

What the...


Got contacted yesterday, about a threat.
A ransomware who target german people use actually a crypter... and a message was leaved to me on the stub...


When unpack it's just some deja-vu:


A file "ACHTUNG-LESEN.txt" is leaved on the desktop
Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

And everything is encoded

11 comments:

  1. From Russia with love :)

    ReplyDelete
  2. I've been playing around with Olly and can't figure out how you get symbols working with Olly 1.10. I installed symbols, pointed Olly to the symbols directory but it doesn't seem to be working. Any ideas?

    ReplyDelete
  3. I thought we were past this.

    ReplyDelete
  4. Hey, a friend of mine also had this virus (from an porn site xD)
    Is it enaugh to backup the pc?

    ReplyDelete
  5. >2012
    >not menteioning your name in malware
    >shiggity diggity

    ReplyDelete
  6. Lol they're in love with you :)

    ReplyDelete
  7. Things just got better. Ransom.MBRLock is back!
    http://imgur.com/yxKpm

    ReplyDelete
  8. Bro, PM me on twitter if you know the affiliate program pushing this locker.

    ReplyDelete
  9. Looks like a fake Windows update ransomware

    ReplyDelete
  10. This malware is very much in circulation in Germany. it is about fake invoices sent as attach. Malware in action:
    http://youtu.be/tPMZxdgA5QI

    ReplyDelete