# FCT

**[id-ransomware.blogspot.com/2020/02/fct-ransomware.html](https://id-ransomware.blogspot.com/2020/02/fct-ransomware.html)**

## FCT Ransomware

### (шифровальщик-вымогатель) (первоисточник)
 Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем
требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название
проекта: FCT.pdb. На исполняемом файле написано: FCT.exe. Использует библиотеку
Crypto++.

**Обнаружения:**

**DrWeb -> Trojan.Encoder.30905**

**BitDefender -> Gen:Variant.Johnnie.213073**

**ESET-NOD32 -> A Variant Of Win32/Filecoder.FCT.A**

**Kaspersky -> Trojan.Win32.Zudochka.dvw**

**Microsoft -> Trojan:Win32/Wacatac.C!ml**

**Tencent -> Win32.Trojan.Filecoder.Hqvv**

**Symantec ->** [ML.Attribute.HighConfidence,](https://www.symantec.com/security-center/writeup/2018-110508-4231-99) [Trojan.Gen.MBT](https://www.symantec.com/security-center/writeup/2014-042811-4408-99)

--
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!

AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

**© Генеалогия: выясняется, явное родство с кем-то не доказано.**


-----

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .adv

**Внимание! Новые расширения, email и тексты о выкупе можно найти в конце**

статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

Активность этого крипто-вымогателя пришлась на конец января 2020 г. Ориентирован
на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***

**Содержание записки о выкупе:**
***

**Перевод записки на русский язык:**
***

**Технические детали**

[Распространяется как активатор для Office (файл Activator_Office.exe) или один из](https://www.virustotal.com/gui/file/f9b62c398d4c92c796ce65ecc3f1b00a12027ec7ffab9249abdb797128c528d3/detection)
компонентов KMSAuto.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с
помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов,
эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений,
перепакованных и заражённых инсталляторов. См. также "Основные способы
[распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html)

Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html)

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или
Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3**2-1.**


-----

**Список файловых расширений, подвергающихся шифрованию:**
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных,
фотографии, музыка, видео, файлы образов, архивы и пр.

**Файлы, связанные с этим Ransomware:**
FCT.pdb - оригинальное название проекта
FCT.exe - оригинальный исполняемый файл
<ransom_note>.txt - название текстового файла
<random>.exe - случайное название вредоносного файла

**Расположения:**
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\cdalv\source\repos\FCT\Release\FCT.pdb

**Записи реестра, связанные с этим Ransomware:**
См. ниже результаты анализов.

**Сетевые подключения и связи:**
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

**Результаты анализов:**
Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/3d0b6d8806c174027cc50dd4cd415268fd180f8964ae2bfce1cacf44ca82f660/5e370abcdfdc0332ec749156)**
𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/gui/file/3d0b6d8806c174027cc50dd4cd415268fd180f8964ae2bfce1cacf44ca82f660/detection)**
🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/4e97ba2d-2182-44e1-9eb8-3140737d4ddb)**
ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/0bafff87-e754-4189-b1be-56935ffad5a3/)**
ⴵ **[VMRay analysis >>](https://www.vmray.com/analyses/3d0b6d8806c1/report/overview.html)**
Ⓥ VirusBay samples >>
� MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


-----

Ещё не было обновлений этого варианта.

**=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===**
```
         Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
        Thanks: 
 Jirehlov, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

```
[© Amigo-A (Andrew Ivanov): All blog articles. Contact.](https://id-ransomware.blogspot.com/p/contact.html)


-----