понедельник, 12 июня 2017 г.

RabboLock

R4bb0l0ck Ransomware

RabboLock Dutch Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует необычный выкуп, чтобы вернуть файлы. В записке о выкупе указано другое название: RabboLock
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> R4bb0l0ck

К зашифрованным файлам добавляется расширение .R4bb0l0ck

Этимология названия:
Ранее выпускался другой RabboLock, который был дубликатом одной из новых версий (или вариантов) Jigsaw. У меня в блоге он не описывался. 

Вопрос о тождестве R4bb0l0ck и RabboLock остаётся открытым. Слишком редкое название с большей долей вероятности могло использоваться одним и тем же вымогателем для своих разных проектов. Но теоретически могло быть заимствовано другими. 

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LEES_MIJ.txt

Содержание записки о выкупе:
Bestanden zijn encrypted met RabboLock.
Stuur me een email (naar: 7xeqjs+1scf2q9c551an4gpw@guerrillamail.com) en voldoe aan deze voorwaarden:
Ik wil staf privileges op het account dat ik zal doorgeven
bovendien wil ik 5000 kronen en 5000 diamanten op hetzelfde account + 5000 rares naar keuze verdeeld over andere accounts 
Veel succes
PS: contacteer me binnen het uur anders is het te laat!

Перевод записки на русский язык:
Файлы зашифрованы с RabboLock.
Пришли мне по email (на: 7xeqjs+1scf2q9c551an4gpw@guerrillamail.com) и выполни эти условия:
Я хочу личные привилегии на аккаунте, что мне будет передан
Также я хочу 5000 крон и 5000 бриллиантов на тот же счет + 5000 мелочью или перевести на другие счета.
Удачи
PS: свяжись со мной в течение часа, иначе будет слишком поздно!

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений (PDF.exe), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LEES_MIJ.txt
WindowsOverride.txt
hidden-tear.exe
<random>.exe

Расположения:
\Desktop\LEES_MIJ.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
7xeqjs+1scf2q9c551an4gpw@guerrillamail.com
athe.vdb@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *