Если вы не видите здесь изображений, то используйте VPN.

вторник, 6 сентября 2016 г.

RarVault

RarVault Ransomware

(фейк-шифровальщик, rar-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот вымогатель помещает данные пользователей в один или несколько архивов, а затем требует выкуп от 1 до 50 биткоинов, чтобы вернуть файлы. Название дано самими вымогателями. Ориентирован на русскоязычных пользователей, но вполне могут появиться и англоязычные версии. 


Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам 
в эту тему на форуме BleepingComputer. Есть возможность вам помочь! 

Вымогателями утверждается, что файлы в архиве защищены при помощи криптостойкого алгоритма шифрования AES-256 с функцией деривации ключа, основанной на PBKDF2 с использованием HMAC-SHA256. Такой пароль состоит их 127 любых символов на 2 языках. Подбор подобного пароля самыми современными компьютерами при помощи специального программного обеспечения займет около 300-500 лет.

Пример упомянутого пароля:
4c5№Ф&63*99ыD07079975e84D4№8№00660#?(60C83A7068%+(06Ж9йр;66+9О&5D&C80О973:E00CрE00 г76**5Ж2)7ы+6р(г978_0ce9876992_?6F6003A№~08A)

Для восстановления файлов нужно выслать на почту RarVault@ruggedinbox.com письмо, приложить к нему файлы "Rar_Vault_User.txt" и "Rar_Vault_User.rar" (они находятся в корне диска С:\ или в папке C:\RarVault\), уникальный идентификационный номер. После этого пополнить свой личный кошелек (номер кошелька пришлют вымогатели) на сумму - 1 Биткоин (около 250 USD, сумма может возрасти в зависимости от важности информации и составить от 1 Биткоина до 50).

Краткой запиской с требованием выкупа выступает скринлок:

Содержание полной записки о выкупе:
http://rarvault.myfreesites.net/

Перевод страницы на английский язык (часть текста):
RarVault
Main questions    List exchangers
MAIN QUESTIONS
What happened to my files?
Accessing your files has been temporarily suspended. They pomesheny to archive (or more, depending on the number of drives on your computer) and are RarVault folder or the "root" drive (ie C: \ RarVault
\ D: \ RarVault \ E: \ RarVault \ or C: \ D: \ E: \, etc.).
How can I restore my files?
To restore files, you should be sent to: RarVault(5)ruggedinbox.com letter and attach the file
"Rar_Vault_User.txt" and "Rar_Vault_User.rar" (or be in the "root" of drive C: \ or C: \ RarVault \), which
contains your unique ID number, then fill up your personal account (account number, we will send you
e) the sum of - 1 Bitcoin (about 250 USD, the amount may vary, depending on the importance of the information, and be between 1 Bitcoins to 50).
Prior to the full recovery of your files, in any case you can not delete or move the file "Rar_Vault_User.txt", to prevent the change of your unique identification number.
After recharge your purse, where the cost is fully paid - you will automatically be sent a password to unzip.
Alas, you will not be able to unzip your files without your unique password. Neither system administrators or programmers or even anti-virus companies and software developers, archives will not be able to help you. Keep in mind that your files in the archive are protected by means of cryptographically strong AES-256 encryption algorithm with a key derivation function based on PBKDF2...

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с RarVault Ransomware:
lsаss.exe
Rar_Vault_User.txt
Rar_Vault_User.rar

Записи реестра, связанные с RarVault Ransomware:
***

Т.к. файлы всё же не шифруются, то RarVault Ransomware я отношу к фейк-шифровальщикам

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам в эту тему на форуме BleepingComputer. 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *