Об эту пору специалисты Cisco сообщили, что им удалось выявить непрерывность между Ranscam и двумя другими семействами малвари, которые демонстрируют оный же почерк: Jigsaw и AnonPop. Совсем недавно исследователи компании Cisco «препарировали» шифровальщики Ranscam и выяснили, зачем на самом деле вредонос ничего не шифрует и малограмотный сохраняет никаких ключей. Ranscam попросту уничтожает пользовательские способности, а затем требует у жертвы выкуп, хотя восстановить информацию поуже не представляется возможным. Исследователи полагают, что все три вредоноса – случай рук одного автора.
 
Так же т. е. и Ranscam, Jigsaw и AnonPop нельзя назвать «шифровальщиками», как ни говори они просто удаляют все файлы жертвы, и восстановить причина впоследствии уже невозможно.
 
Оказалось, что получи и распишись этот же ящик ранее были оформлены и другие домены, же позже их перерегистрировали на адрес minercount@yandex.com. Рядом этом телефонный номер владельца остался прежним, что очевидно указывало на то, что это один и тот а человек. Эксперты рассказывают, что их расследование началось с того, что-нибудь для распространения Ranscam использовалось всего одно доменное наименование. Как выяснилось, данный домен был зарегистрирован на код cryptofinancial@yandex.com.
 
Некоторые из упомянутых доменов использовались в целях распространения Jigsaw и AnonPop. Он так же использовался интересах регистрации доменов, которые размещались на тех же серверах и распространяли всегда же те вредоносы. Затем специалисты обнаружили и третий почтовый домицилий: minercount2@yandex.com.
Поиск по никнейму minercount дал творение. Так, в одном из обсуждений minercount благодарил создателя инструмента к обфускации кода .NET. Дальнейшее изучение сообщений хакера помогло демонстрировать его связь с одним из ранее обнаруженных доменов и email-адресов. Опять же эксперты обнаружили объявление, в котором minercount предлагал своего нового вымогателя чем) за $50. Специалисты обнаружили пользователя с таким именем, некоторый проявлял активность на хакерских форумах. Именно этот аппарат использовался для обфускации исходных кодов Ranscam и AnonPop.
Эксперты считают, точно на Reddit автор малвари присутствует под псевдонимом cryptoconsulate и распространяет дальше своих вредоносов. К недавней активности minercount специалисты Cisco относят треды получай Reddit, которые прямо связаны с доменами злоумышленника.
Исследователи пишут, отчего сейчас злоумышленник повторно использует Bitcoin-адрес, который впереди применял для работы вымогателя Jigsaw. Хотя команда Cisco неважный (=маловажный) может сказать со стопроцентной уверенностью, что minercount является автором Jigsaw, они убеждены, какими судьбами на поприще распространения данной угрозы он определенно был одним с лидеров.
«Один оператор может быть ответственен следовать ряд отдельных вариантов [вредоносного ПО], возможно, это была рывок увеличить прибыли, или он просто оттачивает тактику, стараясь снизить доход, который приносят ему жертвы», — заключают исследователи.

истoчник:

Cisco: шифровальщики Ranscam, Jigsaw и AnonPop создал один и тот же человек