суббота, 15 июля 2017 г.

Reyptson

Reyptson Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200-500€, чтобы вернуть файлы. Оригинальное название: Reyptson Ransomware. На файле написано: Reyptson.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .REYPTSON

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Como_Recuperar_Tus_Ficheros.txt

Содержание записки о выкупе:
Como recuperar tus ficheros del cifrador Reyptson
---
Tienes toda la información en esta web:
xxxxs://37z2akkbd3vqphw5.onion.link/?usuario=4406091797&pass=3411
Si no puedes entrar descarga el navegador tor desde:
xxxxs://www.torproject.org/download/download
y entra a: xxxx://37z2akkbd3vqphw5.onion/?usuario=4406091797&pass=3411
Para poder descifrar tus ficheros tendras que pagar 200€
pero si te retrasas mas de 72H tendras que pagar 500€
Tus datos de acceso son:
Usuario: 4406091797
Contraseña: 3411

Перевод записки на русский язык:
Как восстановить зашифрованные Reyptson файлы
---
xxxxs://37z2akkbd3vqphw5.onion.link***
Если вы не можете ввести, скачайте Tor-браузер из:
xxxxs://www.torproject.org/download/download
и введите: xxxxs://37z2akkbd3vqphw5.onion.link***
Для расшифровки файлов вам придется заплатить 200€
но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500
Ваши регистрационные данные:
Пользователь: 4406091797
Пароль: 3411

Другим информатором жертвы выступает экран блокировки:

Содержание текста с экрана:
REYPTSON
TUS FICHEROS HAN SIDO CIFRADOS, SI QUIERES RECUPERARLOS SIGUE LAS INSTRUCCIONES
Instrucciones
Accede a este sitio web: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
En el tienes las instrucciones para recuperar tus ficheros y un soporte con el que
podrás contactarnos para recibir asistencia técnica.
Si no puedes acceder puedes entrar bajandote un navegador llamado tor de:
https://www.torproject.org/download/download
Y entrando a: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Para poder descifrar tus ficheros tendrás que pagar 200€ pero si te retrasas mas
de 72H tendrás que pagar 500€

Перевод текста на русский язык:
REYPTSON
Ваши файлы зашифрованы, если вы хотите вернуть их следуйте инструкциям
Инструкции
Перейдите на этот веб-сайт: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
У вас есть инструкции для восстановления файлов и поддержки, по которой
Вы можете связаться с нами для получения помощи.
Если вы не можете получить доступ к сайту, то можете загрузить Tor-браузер:
https://www.torproject.org/download/download
И ввести: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Для расшифровки файлов, вам придется заплатить 200 евро, но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500


Скриншоты сайта в сети Tor



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивых PDF-файлов), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Фальшивый PDF-файл, который не открывается в Adobe Reader

Когда Reyptson заражает компьютер, то собирает учетные данные SMTP и списки контактов из Thunderbird, а затем посылает каждому собранному контакту следующее сообщение:

Основное содержание:
Si tras leer la información de facturación ha localizado algún error no dude en respondernos a este mismo correo con el numero de factura y el numero de pedido.

Перевод на русский:
Если после прочтения платежной информации замечена ошибка, пожалуйста, ответьте нам эту же почту с номером счета и номером заказа.

Это может говорить также о функционале почтового червя. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Como_Recuperar_Tus_Ficheros.txt
Reyptson.exe
SpotifyWebHelper.exe
SpotifyWebHelper.pdf
Spotify.vbs
factura.pdf.exe
<random>.exe
<random>.pdf

Расположения:
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.pdf
%APPDATA%\Spotify\SpotifyWebHelper\Spotify.vbs
%APPDATA%\Spotify\SpotifyWebHelper\<random>.pdf
%APPDATA%\Spotify\SpotifyWebHelper\<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Spotify Web Helper v1.0"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://x.to/***
7z2akkbd3vqphw5.onion***
37z2akkbd3vqphw5.onion***
www.torproject.org/download/download***
ject.org/download/download***
media.blizzard.com/emails/2014-account/lock.png***
www.melvinmusicals.com/facefiles/factura.pdf.rar***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 xXToffeeXx
 MalwareHunterTeam
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *