понедельник, 31 октября 2016 г.

RotorCrypt

RotorCrypt (RotoCrypt, Tar) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. 

© Генеалогия: Gomasom > RotorCrypt

К зашифрованным файлам добавляются расширения .c400, .c300 и email вымогателей по шаблонам
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:

Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого криптовымогателя пришлась на конец октября - ноябрь 2016 г. 

Ранняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar. Распространение Tar пришлось на вторую половину сентября - середину октября 2016. Сообщения на форуме BC

Записки с требованием выкупа называются: readme.txt или ***readme.txt

Содержание записки о выкупе (из версия Tar):
Good day
Your files were encrypted/locked
As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

Перевод записки на русский язык:
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

Email вымогателей: 
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM
и другие (см. внизу в обновлениях)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). 

Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). 

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

Записи реестра, связанные с RotorCrypt Ransomware:
См. ниже гибридные анализы. 

Результаты анализов по версиям:

Гибридный анализ на Tar >>
Гибридный анализ для ELIZABETH >> 
Гибридный анализ для LIKBEZ >>
Гибридный анализ на GEKSOGEN >>
VirusTotal анализ на Tar >>
VirusTotal анализ для ELIZABETH >>
VirusTotal анализ для LIKBEZ >>
VirusTotal анализ на GEKSOGEN >>


Обновление от 10 ноября 2016:
Email: GEKSOGEN911@GMAIL.COM
Расширение по шаблону: 
!_____GEKSOGEN911@GMAIL.COM____.c300

Обновление от 2 декабря 2016:
Email: DILINGER7900@GMAIL.COM
Расширение по шаблону: 
!_____DILINGER7900@GMAIL.COM_____.GRANIT

Обновление от 26 декабря 2017:
Email: hamil8642@gmail.com
Расширение по шаблону: 
!____hamil8642@gmail.com___.GRANIT

Обновление от 24 марта 2017:
Email: tokico767@gmail.com.adamant
Пример темы >>
Результаты анализов: HA+VT

Обновление: апрель 2017:
Email: edgar4000@protonmail.com
Пример темы >>
Расширение по шаблону: 
edgar4000@protonmail.com____.granit
Email: edgar4000@protonmail.com

Обновление от 5 июня 2017:

Расширение: ________DILIGATMAIL@tutanota.com________.pgp
Ссылка на топик >>

Обновление от 15 августа 2017:
Пост в Твиттере >>
Расширение по шаблону: 
!______DILIGATMAIL7@tutanota.com______.OTR
Email: diligatmail7@tutanota.com
Результаты анализов: HA+VT



Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC
  Thanks: 
  Michael Gillespie
  mike 1
  thyrex
 

© Amigo-A (Andrew Ivanov): All blog articles.

7 комментариев:

  1. Пострадал от этого шифровальщика. Вымогатели общаются, но требуют заоблачные деньги.

    ОтветитьУдалить
    Ответы
    1. На рабочем столе у вас было много информации? Ярлыков, файлов?
      Если да, а данный шифровальщик снимает и отправляет вымогателям скриншот рабочего стола, то можно чем-то пожертвовать и сказать вымогателям, что мне нужна только такая-то папка, да и то не все файлы, так они могут снизить цену. Дешифровщика пока нет, т.к. исследователям нужен образец вредоеноса и файлы для изучения.
      Рекомендую создать тему здесь
      http://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/ .
      Можете сослаться на меня Amigo-A. Вам скажут куда загрузить файлы для исследования. Ничего сами не удаляйте.

      Удалить
  2. У нас он зашёл в апреле 2017, почта edgar4000@protonmail.com____.granit. Если интересно могу сбросить

    ОтветитьУдалить
    Ответы
    1. Выложите файл записки о выкупе на www.dropmefiles.com и дайте ссылку на скачивание, если он отличается от прежнего. Можно и сюда весь текст вставить. Exe-файл лучше отправить на https://www.hybrid-analysis.com - ссылку на результат скопировать сюда.

      Удалить
    2. записки о выкупе не было. Но к каждому файлу было добавлено поле с этим мэйлом. Написали им на эту почту - они ответили. Ребята начали с 7 биткоинтов с другим человеком, со мной с 2 биткоинтов. Мы доторговались до 1300 долларов - но ребята слились, правда периодически пописывают мне. Вообщем несерьезные они какие то

      Удалить

  3. От: "EDGAR4000"
    Тема: .Granit
    Копия:


    Добрый день, мы обеспечили безопасность ваших файлов.
    Щас идет массовая экспансия фирм\компаний\предприятий\организаций

    воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,
    все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере

    Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.


    Хакеры добро или зло? ядерное оружие добро или зло?
    если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.
    а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.
    так что все в нашем мире сугубо относительно. мы спасам бизнес людей

    Поручите вашему новому системному администратору

    Сменить все пароли, ставить сложные пароли
    Сменить порт сервера на более сложный
    Настроить подключение к серверу лишь через VPN т.е через 1 IP

    относитесь к безопасности серьезно, и не принебрегайте ею

    естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)
    Цены за востановление варьируются от 2300 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.
    Доложите информацию руководству для принятия решения.
    по вопросам безопасности консультируем бесплатно!


    От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.

    Sent with ProtonMail Secure Email.

    ОтветитьУдалить
  4. EDGAR4000
    1350 край
    Sent with ProtonMail Secure Email.

    ОтветитьУдалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *