вторник, 1 ноября 2016 г.

WinRarer

WinRarer Ransomware 

(шифровальщик-вымогатель, rar-вымогатель)


   Этот вымогатель помещает данные пользователей в специальный архив YourFilesHere-0penWithWinrar.ace с помощью файла WinRar и пароля, а затем требует выкуп, чтобы вернуть файлы. Название получил от из-за использования возможностей ПО WinRar.

 Таким образом файлы оказываются зашифрованными с использованием возможностей архиватора WinRar, когда помещенные в архив под паролем файлы становятся зашифрованы (см. справку WinRar). 

© Генеалогия: неизвестна

Примечательно, что расширение у такого архивного файла .ace, а не rar, zip или exe. 

Активность этого криптовымогателя пришлась на конец октября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются: 
RECOVERYOURFILES.HTM - записка  в виде веб-файла;
RecoverYourFiles.jpg - скринлок, встающий обоями.

Содержание записки о выкупе:
Attention : YOUR FILES were LOCKED
What happened ?
Your important files were LOCKED with Winrar so its now unusable and unreadable,
The only way to get your files back is to pay us.
Otherwise, your files will be useless
How can I get my files back?
The only way to restore them to a normal condition is to use our site to decrypt your key to get the password follow the flowing steps to enter our site :
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Go to this site ( paste it in the url address ) : pgzhzhje5v7dzrcr.onion
4. Copy your id from the bottom of the page to paste in the site.
your id is : *****************
done

Перевод на русский язык:
Внимание: Ваши файлы блокированы
Что случилось?
Ваши важные файлы блокированы с Winrar потому теперь непригодны и нечитаемы,
Есть один способ, чтобы получить ваши файлы обратно это заплатить нам.
В противном случае ваши файлы будут бесполезны
Как я могу вернуть мои файлы?
Только один способ вернуть их в нормальное состояние, это на нашем сайте получить ключ дешифровки и пароль, надо проделать шаги для входа на наш сайт:
1. Скачать и установить tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запуститm браузер и ждать инициализацию.
3. Перейти на этот сайт (вставьте его в URL адрес): pgzhzhje5v7dzrcr.onion
4. Скопировать id из нижней части страницы, чтобы вставить на сайте.
Ваш id: *****************
готово


Содержание текста со скринлока:
WINRARER
YOUR FILES LOCKED
WITH WINRAR
WHAT HAPPENED ?
YOUR IMPORTANT FILES WERE LOCKED WITH WINRAR
SO ITS NOW UNUSABLE AND UNREADABLE.
THE ONLY WAY TO GET YOUR FILES BACK IS TO PAY US.
OTHERWISE, YOUR FILES WILL BE LOST.
HOW CAN I GET MY FILES BACK?
THE ONLY WAY TO RESTORE THEM TO A NORMAL CONDITION IS TO USE OUR
SITE TO DECRYPT YOUR KEY TO GET THE PASSWORD
FOLLOW THE FLOWING STEPS TO ENTER OUR SITE:
1. DOWNLOAD AND INSTALL TOR-BROWSER: HTTP://WWW.TORPROJECT.ORG
2. AFTER A SUCCESSFUL INSTALLATION, RUN THE BROWSER AND WAIT FOR INITIALIZATION.
3. GO TO THIS SITE USING TOR BROWSER ONLY: PGZHZHJE5V7DZRCR.ONION
4. COPY YOUR ID FROM RECOVERYOURFILES.HTM FILE AND PASTE IT IN THE SITE
IF YOU ARE LOOKING FOR A JOB ENTER THE SITE AND GET YOUR OWN LOCKER

Перевод текста на русский язык:
WINRARER
Ваши файлы заблокированы
С помощью WinRAR
Что случилось?
Ваши важные файлы были заблокированы с помощью WinRAR
Потому они теперь непригодны для использования и нечитаемы.
Только один способ вернуть ваши файлы — это заплатить нам.
Иначе ваши файлы будут потеряны.
Как я могу получить мои файлы обратно?
Только один восстановить их в нормальное состояние — использовать наш сайт для получения вашего ключа дешифровки и пароля
Выполните плавные шаги, чтобы войти в наш сайт:
1. Скачайте и установите Tor-браузер: http://www.torproject.org
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Перейдите на этот сайт, используя только Tor-браузер: pgzhzhje5v7dzrcr.onion
4. Скопируйте ваш ID из файла RECOVERYOURFILES.HTM и вставьте его на сайте
Если вы ищете работу, зайдите на сайт и получить свой собственный Локер.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe. 

Список файлов и папок, подвергающихся шифрованию и архивированию:
Все файлы и папки, находящиеся в корне каждого диска. 

Файлы, связанные с WinRarer Ransomware:
RECOVERYOURFILES.HTM
RecoverYourFiles3.jpg.799e89aecb675917ca5917443fe02a25.jpg
C:\YOUR-locked-FILES\

Записи реестра, связанные с WinRarer Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 ID Ransomware
 Topic on Kaldata
 *
 Thanks: 
 Michael Gillespie
 Thyrex
 icotonev
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton