Во всех отношениях недавно исследователи компании Cisco «препарировали» шифровальщики Ranscam и выяснили, яко на самом деле вредонос ничего не шифрует и без- сохраняет никаких ключей. Ranscam попросту уничтожает пользовательские цифирь, а затем требует у жертвы выкуп, хотя восстановить информацию еще не представляется возможным. Теперь специалисты Cisco сообщили, ровно им удалось выявить связь между Ranscam и двумя другими семействами малвари, которые демонстрируют оный же почерк: Jigsaw и AnonPop. Исследователи полагают, что до настоящего времени три вредоноса – дело рук одного автора.
 
В) такой степени же как и Ranscam, Jigsaw и AnonPop нельзя назвать «шифровальщиками», тогда они просто удаляют все файлы жертвы, и восстановить документация впоследствии уже невозможно.
 
Оказалось, что получи и распишись этот же ящик ранее были оформлены и другие домены, так позже их перерегистрировали на адрес minercount@yandex.com. Эксперты рассказывают, кое-что их расследование началось с того, что для распространения Ranscam использовалось просто-напросто одно доменное имя. Как выяснилось, данный домен был зарегистрирован возьми адрес cryptofinancial@yandex.com. При этом телефонный номер владельца остался прежним, какими судьбами явно указывало на то, что это один и оный же человек.
 
Некоторые из упомянутых доменов использовались ради распространения Jigsaw и AnonPop. Он так же использовался с целью регистрации доменов, которые размещались на тех же серверах и распространяли повально же те вредоносы. Затем специалисты обнаружили и третий почтовый приветствие: minercount2@yandex.com.
Именно этот инструмент использовался для обфускации исходных кодов Ranscam и AnonPop. Отыскание по никнейму minercount дал результат. Дальнейшее изучение сообщений хакера помогло проявить его связь с одним из ранее обнаруженных доменов и email-адресов. Что-то около, в одном из обсуждений minercount благодарил создателя инструмента чтобы обфускации кода .NET. Также эксперты обнаружили объявление, в котором minercount предлагал своего нового вымогателя общем за $50. Специалисты обнаружили пользователя с таким именем, который-нибудь проявлял активность на хакерских форумах.
К недавней активности minercount специалисты Cisco относят треды для Reddit, которые прямо связаны с доменами злоумышленника. Эксперты считают, что-нибудь на Reddit автор малвари присутствует под псевдонимом cryptoconsulate и распространяет после того своих вредоносов.
Исследователи пишут, что сейчас злоумышленник бис использует Bitcoin-адрес, который ранее применял для работы вымогателя Jigsaw. Хоть команда Cisco не может сказать со стопроцентной уверенностью, сколько minercount является автором Jigsaw, они убеждены, что получай поприще распространения данной угрозы он определенно был одним с лидеров.
«Один оператор может быть ответственен вслед за ряд отдельных вариантов [вредоносного ПО], возможно, это была усилие увеличить прибыли, или он просто оттачивает тактику, стараясь повысить доход, который приносят ему жертвы», — заключают исследователи.

истoчник:
 

Cisco: шифровальщики Ranscam, Jigsaw и AnonPop создал один и тот же человек