Got contacted yesterday, about a threat.
A ransomware who target german people use actually a crypter... and a message was leaved to me on the stub...
When unpack it's just some deja-vu:
A file "ACHTUNG-LESEN.txt" is leaved on the desktop
Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
And everything is encoded
From Russia with love :)
ReplyDeleteI've been playing around with Olly and can't figure out how you get symbols working with Olly 1.10. I installed symbols, pointed Olly to the symbols directory but it doesn't seem to be working. Any ideas?
ReplyDeleteI thought we were past this.
ReplyDeleteHey, a friend of mine also had this virus (from an porn site xD)
ReplyDeleteIs it enaugh to backup the pc?
>2012
ReplyDelete>not menteioning your name in malware
>shiggity diggity
You are famous! ;)
ReplyDeleteLol they're in love with you :)
ReplyDeleteThings just got better. Ransom.MBRLock is back!
ReplyDeletehttp://imgur.com/yxKpm
Bro, PM me on twitter if you know the affiliate program pushing this locker.
ReplyDeleteLooks like a fake Windows update ransomware
ReplyDeleteThis malware is very much in circulation in Germany. it is about fake invoices sent as attach. Malware in action:
ReplyDeletehttp://youtu.be/tPMZxdgA5QI