Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 февраля 2017 г.

YourRansom

YourRansom Ransomware

(шифровальщик-НЕ-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает связаться с автором по email, чтобы БЕСПЛАТНО вернуть файлы. Название оригинальное.

© Генеалогия: YourRansom. Начало > EduRansom

К зашифрованным файлам добавляется расширение .youransom

Активность этого крипто-вымогателя не наблюдалась. Образец был выложен на github.com и представлен в начале февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.txt

Содержание записки о выкупе:
Hey gay, welcome to use YourRansom. Do you like this joke? Contact me to decrypt your files, it's free! Email: i@bobiji.com

Перевод записки на русский язык:
Привет, парень, приглашая к пользованию YourRansom. Нравится ли вам эта шутка? Контакт со мной, чтобы расшифровать файлы, это бесплатно! E-mail: i@bobiji.com

Из инструкции автора на сайте github.com:
加密后的key将存于同目录下YourRansom.key文件,该文件解密后得到YourRansom.dkey置于同目录,使用-d参数即可解密。

Перевод инструкции на русский язык:
Ключ-файл YourRansom.key хранится в зашифрованном виде в том же каталоге, где находятся зашифрованные файлы. Файл расшифровываются с помощью файла YourRansom.dkey. Он помещается в тот же каталог с параметром -d для расшифровки.

Ответное письмо автора шутки-разработки:
Send me the YourRansom.key file. I'll return you a YourRansom.dkey file. Put it in the directory of YourRansom binary file and rerun it. Your file will be unlocked.

Перевод ответного письма на русский язык:
Пришли мне файл YourRansom.key. Я верну тебе файл YourRansom.dkey. Положи его в папку с бинарником YourRansom и перезапусти. Твой файл разблокируется.



Технические детали

Распространяется пока через github.com, но в перспективе может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .avi, .doc, .docx, .gif, .inf, .jpeg, .jpg, .mov, .mp3, .mp4, .mpg, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (20 расширений). 

Это документы MS Office, текстовые файлы, фотографии, музыка, видео, архивы и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
Windows
Program
Appdata
System

Файлы, связанные с этим Ransomware:
README.txt
YourRansom.exe
YourRansom.key
YourRansom.dkey

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: i@bobiji.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Расшифровка предоставляется разработчиком.
Смотрите email-адрес в тексте статьи. 
Инструкции есть также в статье EduRansom >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as YourRansom)
 Write-up (n/a)
 Thanks: 
 Roland Dela Paz, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *