суббота, 15 июля 2017 г.

Reyptson

Reyptson Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200-500€, чтобы вернуть файлы. Оригинальное название: Reyptson Ransomware. На файле написано: Reyptson.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Reyptson 

К зашифрованным файлам добавляется расширение .REYPTSON

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Como_Recuperar_Tus_Ficheros.txt

Содержание записки о выкупе:
Como recuperar tus ficheros del cifrador Reyptson
---
Tienes toda la información en esta web:
xxxxs://37z2akkbd3vqphw5.onion.link/?usuario=4406091797&pass=3411
Si no puedes entrar descarga el navegador tor desde:
xxxxs://www.torproject.org/download/download
y entra a: xxxx://37z2akkbd3vqphw5.onion/?usuario=4406091797&pass=3411
Para poder descifrar tus ficheros tendras que pagar 200€
pero si te retrasas mas de 72H tendras que pagar 500€
Tus datos de acceso son:
Usuario: 4406091797
Contraseña: 3411

Перевод записки на русский язык:
Как восстановить зашифрованные Reyptson файлы
---
xxxxs://37z2akkbd3vqphw5.onion.link***
Если вы не можете ввести, скачайте Tor-браузер из:
xxxxs://www.torproject.org/download/download
и введите: xxxxs://37z2akkbd3vqphw5.onion.link***
Для расшифровки файлов вам придется заплатить 200€
но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500
Ваши регистрационные данные:
Пользователь: 4406091797
Пароль: 3411

Другим информатором жертвы выступает экран блокировки:

Содержание текста с экрана:
REYPTSON
TUS FICHEROS HAN SIDO CIFRADOS, SI QUIERES RECUPERARLOS SIGUE LAS INSTRUCCIONES
Instrucciones
Accede a este sitio web: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
En el tienes las instrucciones para recuperar tus ficheros y un soporte con el que
podrás contactarnos para recibir asistencia técnica.
Si no puedes acceder puedes entrar bajandote un navegador llamado tor de:
https://www.torproject.org/download/download
Y entrando a: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Para poder descifrar tus ficheros tendrás que pagar 200€ pero si te retrasas mas
de 72H tendrás que pagar 500€

Перевод текста на русский язык:
REYPTSON
Ваши файлы зашифрованы, если вы хотите вернуть их следуйте инструкциям
Инструкции
Перейдите на этот веб-сайт: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
У вас есть инструкции для восстановления файлов и поддержки, по которой
Вы можете связаться с нами для получения помощи.
Если вы не можете получить доступ к сайту, то можете загрузить Tor-браузер:
https://www.torproject.org/download/download
И ввести: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Для расшифровки файлов, вам придется заплатить 200 евро, но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500


Скриншоты сайта в сети Tor



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивых PDF-файлов), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Фальшивый PDF-файл, который не открывается в Adobe Reader

Когда Reyptson заражает компьютер, то собирает учетные данные SMTP и базу данных контактов из почтовой программы Thunderbird, а затем отправляет всем адресатам следующее спам-сообщение, содержащее вредоносную ссылку:

Основное содержание:
Si tras leer la información de facturación ha localizado algún error no dude en respondernos a este mismo correo con el numero de factura y el numero de pedido.

Перевод на русский:
Если после прочтения платежной информации замечена ошибка, пожалуйста, ответьте нам эту же почту с номером счета и номером заказа.

Это может говорить также о функционале почтового червя. 

Список файловых расширений, подвергающихся шифрованию:
.2000, .accdb, .accde, .accdr, .accdt, .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpp, .cpt, .cs, .cur, .dat, .db, .dds, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dpx, .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .h, .hdri, .hevc, .icer, .icns, .ico, .ics, .idb, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .jpeg, .jpeg-hdr, .jpeg-ls, .kra, .logluv, .miff, .mng, .nrrd, .ora, .pam, .pbm, .pcx, .pdf, .pgf, .pgm, .pictor, .png, .pnm, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psb, .psd, .psp, .qtvr, .ras, .rbe, .sgi, .sldm, .sldx, .sln, .tga, .tiff, .tiff, .txt, .ufo, .ufp, .wbk, .wbmp, .webp, .xbm, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpm, .xr, .xwd  (116 расширений). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы специализированных и прикладных программ и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
%Windir%
%SystemDrive%\Windows.old
%SystemDrive%\Users\default
%SystemDrive%\Users\all users
%SystemDrive%\Users\public
%ProgramFiles%
%SystemDrive%\$Recycle.bin
%SystemDrive%\Program files (x86)
%SystemDrive%\Programdata
%SystemDrive%\System Volume Information
%AppData%

Файлы, связанные с этим Ransomware:
Como_Recuperar_Tus_Ficheros.txt
Reyptson.exe
SpotifyWebHelper.exe
SpotifyWebHelper.pdf
Spotify.vbs
factura.pdf.exe
<random>.exe
<random>.pdf

Расположения и созданные папки:
%APPDATA%\Spotify\
%APPDATA%\Spotify\SpotifyWebHelper\
%APPDATA%\Spotify\SpotifyWebHelper\dat
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.pdf
%APPDATA%\Spotify\SpotifyWebHelper\Spotify.vbs
%APPDATA%\Spotify\SpotifyWebHelper\<random>.pdf
%APPDATA%\Spotify\SpotifyWebHelper\<random>.exe
%user_folders%\Como_Recuperar_Tus_Ficheros.txt

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Spotify Web Helper v1.0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Spotify Web Helper v1.0" = "%AppData%\Spotify\SpotifyWebHelper\Spotify.vbs"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://x.to/***
7z2akkbd3vqphw5.onion***
37z2akkbd3vqphw5.onion***
www.torproject.org/download/download***
ject.org/download/download***
media.blizzard.com/emails/2014-account/lock.png***
www.melvinmusicals.com/facefiles/factura.pdf.rar***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Symantec: Ransom.Reyptson >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 13 ноября 2017:
Пост в Твиттере >>
Файл: factura.pdf.exe
Tor: xxxx://dphux5xrwuaf4yey.onion
Результаты анализов: VT + HA + VT
<< Скриншот страницы Tor-сайта
Распространяется как вредоносное вложение в email или по вредоносной ссылке.
🎥 Video review



 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Reyptson)
 Write-up, Topic of Support
 * 
 Thanks: 
 xXToffeeXx
 MalwareHunterTeam
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton