суббота, 25 июля 2015 г.

Encryptor RaaS

Encryptor RaaS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Encryptor RaaS
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Encryptor RaaS

К зашифрованным файлам никакое расширение не добавляется. Файлы сохраняют свои оригинальные расширения. 

Активность этого крипто-вымогателя пришлась на конец июля 2015 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: cryptor_raas_readme_liesmich.txt

Содержание записки о выкупе:
ATTENTION!
The files on your computer have been securely encrypted by Encryptor RaaS.
To get access to your files again, follow the instructions at:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ACHTUNG!
Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Перевод записки на русский язык:
ВНИМАНИЕ!
Файлы на вашем компьютере надежно зашифрованы Encryptor RaaS.
Чтобы снова получить доступ к своим файлам, следуйте инструкциям на странице:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ВНИМАНИЕ!
Файлы на вашем компьютере были зашифрованы с помощью Encryptor RaaS.
Чтобы восстановить доступ к своим файлам, следуйте инструкциям:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Также информатором жертвы выступает сайт оплаты выкупа Encryptor RaaS Decryptor.

Через трое суток сумма выкупа будет удвоена. 



Технические детали

Этот RaaS или Ransomware-как-услуга позволяет аффилиатам генерировать  крипто-вымогатель и распространять по своему усмотрению. Партнерская система Ransomware размещается в сети TOR и позволяет посетителю создавать исполняемый файл Ransomware, просто вводя биткоин-адрес, на который они хотят получать выкуп, и денежную сумму, которую они хотят получить. Затем разработчик RaaS выполнит оставшуюся часть работы, собирая и проверяя платежи, выдавая расшифровщики, а затем отправляя партнёрские платежи партнерам. Себе разработчик RaaS оставляет 20% от собранных выкупов.

Эта аффилированная система похожа на ту, что использовалась в ToxCrypt Ransomware, за исключением того, что эта служба имеет несложную настройку и несуществующую партнерскую консоль. Фактически, партнер должен полагаться на свой собственный метод распространения, чтобы определить, сколько из них было установлено, и доверять разработчику RaaS в доставке платежей за собранные выкупы. 

Аффилиаты могут распространять крипто-вымогатель с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Сама программа Encryptor RaaS не удаляет теневые копии файлов или не удаляет зашифрованные файлы. Поэтому, если партнёр-аффилиат не включит этого в свой метод распространения, можно восстановить файлы с помощью программы Shadow Explorer или программ для восстановления файлов. 

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.abw, .accdb, .ai, .aif, .arc, .as, .asc, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .crt, .csr, .cue, .c++, .dds, .dem, .dmg, .doc, .docm, .docx, .dsb, .dwg, .dxf, .eddx, .edoc, .eml, .emlx, .eps, .epub, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gif, .gpx, .gz, .h, .hbk, .hdd, .hds, .hpp, .h++, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpf, .jpeg, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nes, .note, .nrg, .nri, .ods, .odt, .ogg, .ova, .ovf, .oxps, .p2i, .p65, .p7, .pages, .pct, .pdf, .pem, .phtm, .phtml, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .pspimage, .pst, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .ra, .rar, .raw, .rm, .rtf, .s, .sbf, .set, .skb, .slf, .sme, .smm, .spb, .sql, .srt, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tar, .tc, .tex, .tga, .thm, .tif, .tiff, .toast, .torrent, .tpl, .ts, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .wbverify, .wav, .webm, .wmb, .wpb, .wps, .xdw, .xlr, .xls, .xlsx, .xz, .yuv, .zip, .zipx (229 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает при шифрование файлы wallet.dat, относящиеся к биткоин-кошелькам, которые могут понадобиться жертвам для оплаты выкупа. 

Файлы, связанные с этим Ransomware:
cryptor_raas_readme_liesmich.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://decryptoraveidf7.onion.to/***
BTC: 12tdtfVGv3FL31BCd4v9toYH19ALhJ8un
18V5wVhitNnYaoV3iqAmNVigtYBJzRcztz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton