Исследователи полагают, что-то все три вредоноса – дело рук одного автора. Данный) момент специалисты Cisco сообщили, что им удалось выявить коммуникация между Ranscam и двумя другими семействами малвари, которые демонстрируют оный же почерк: Jigsaw и AnonPop. Ranscam попросту уничтожает пользовательские показатели, а затем требует у жертвы выкуп, хотя восстановить информацию сейчас не представляется возможным. Совсем недавно исследователи компании Cisco «препарировали» шифровальщики Ranscam и выяснили, что-то на самом деле вредонос ничего не шифрует и далеко не сохраняет никаких ключей.
 
Так же (языко и Ranscam, Jigsaw и AnonPop нельзя назвать «шифровальщиками», как бы то ни было они просто удаляют все файлы жертвы, и восстановить данное впоследствии уже невозможно.
 
При этом телефонный стриптиз владельца остался прежним, что явно указывало на в таком случае, что это один и тот же человек. Оказалось, подобно как на этот же ящик ранее были оформлены и некоторые люди домены, но позже их перерегистрировали на адрес minercount@yandex.com. Эксперты рассказывают, ровно их расследование началось с того, что для распространения Ranscam использовалось токмо одно доменное имя. Как выяснилось, данный домен был зарегистрирован для адрес cryptofinancial@yandex.com.
 
Затем специалисты обнаружили и беспристрастный почтовый адрес: minercount2@yandex.com. Некоторые из упомянутых доменов использовались во (избежание распространения Jigsaw и AnonPop. Он так же использовался в целях регистрации доменов, которые размещались на тех же серверах и распространяли хана же те вредоносы.
Также эксперты обнаружили объявление, в котором minercount предлагал своего нового вымогателя лишь за $50. Так, в одном из обсуждений minercount благодарил создателя инструмента интересах обфускации кода .NET. Дальнейшее изучение сообщений хакера помогло разоблачить его связь с одним из ранее обнаруженных доменов и email-адресов. Подыскание по никнейму minercount дал результат. Именно этот гладилка использовался для обфускации исходных кодов Ranscam и AnonPop. Специалисты обнаружили пользователя с таким именем, какой-никакой проявлял активность на хакерских форумах.
К недавней активности minercount специалисты Cisco относят треды нате Reddit, которые прямо связаны с доменами злоумышленника. Эксперты считают, фигли на Reddit автор малвари присутствует под псевдонимом cryptoconsulate и распространяет спустя некоторое время своих вредоносов.
Исследователи пишут, что сейчас злоумышленник из года в год использует Bitcoin-адрес, который ранее применял для работы вымогателя Jigsaw. Правда команда Cisco не может сказать со стопроцентной уверенностью, что же minercount является автором Jigsaw, они убеждены, что бери поприще распространения данной угрозы он определенно был одним с лидеров.
«Один оператор может быть ответственен вслед за ряд отдельных вариантов [вредоносного ПО], возможно, это была эксперимент увеличить прибыли, или он просто оттачивает тактику, стараясь умножить доход, который приносят ему жертвы», — заключают исследователи.

истoчник:

Cisco: шифровальщики Ranscam, Jigsaw и AnonPop создал один и тот же человек