пятница, 9 марта 2018 г.

FRS

FRS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальные названия: FRS Ransomware и FRS Decryptor. Разработчик: FIFCOM Corp.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .FRS

Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на китайских и англоязычных пользователей, что помогает распространять его по всему миру. В распространении, видимо, с июля 2017.

Записка с требованием выкупа называется:
READ_ME_HELP_ME.txt

Запиской с требованием выкупа выступает также изображение READ_ME_HELP_ME.png, встающее обоями Рабочего стола. Ему предшествует показ показ изображения с китайским флагом.

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
***FRS Ransomware***Chinese text***FRS Decryptor***
Is the content of your files not readable?
It is normal,because your important files have been encrypted by the "FRS Ransomware".
It means your files are NOT DAMAGED!Your files are just encrypted.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is use special decryption tool "FRS Decryptor".
Please wait for "FRS Decryptor" to start automatically.
If "FRS Decryptor" does not start automatically, open "FRS Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
***FRS Ransomware***китайский текст***FRS Decryptor***
Содержимое ваших файлов недоступно для чтения?
Это нормально, потому что ваши важные файлы зашифрованы "FRS Ransomware".
Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы.
С этого момента вы не сможете использовать ваши файлы, пока они не будут дешифрованы.
Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FRS Decryptor".
Подождите, пока "FRS Decryptor" запустится автоматически.
Если "FRS Decryptor" не запускается автоматически, откройте "FRS Decryptor" на рабочем столе.

Содержание руководства FRS Decryptor
FRS Decryptor  FRS Ransomware
---
Decrypt all files you should buy Advanced Edition FRS Decryptor.
Way of buying:Send 0.050 bitcoins to the specified address(Worth about $303).
Address:1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwX
Send a message to the E-mail address after payment:
E-mail: FRSDecryptor@fifcom.cn
Title: Buy FRS Decryptor
Content: Your payment information
You will get a reply after send E-mail,The message contains an activation code,
Please enter below.
Press [Enter] to confirm,FRS Decryptor will decrypt all encrypted files



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Скомпилирован с помощью "Quick Batch File Compiler". 

➤ Данный скриншот демонстрирует показ экран, сообщающего о нелицензионной версии Windows, за которой скрыт экран FRS Decryptor


Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .exe, .flv, .gif, .lnk, .m4a, .mkv, .mp4, .odp, .ods, .pdf, .png, .ppt, .rtf, .swf, .wav и другиеЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, флеш-файлы, exe-файлы и пр.

Файлы, связанные с этим Ransomware:
FRS.exe
FRS_Decryptor.exe
READ_ME_HELP_ME.txt
READ_ME_HELP_ME.png
CV9P5M85.bat
01T92RG5.bat
Chinese_national_flag.png
1.txt
temp.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\CV9P5M85.bat
\Temp\01T92RG5.bat
\FRSDecryptor\1.txt
\FRS_TEMP\temp.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FRSDecryptor@fifcom.cn
xxxxs://www.abyssmedia.com/
BTC: 1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwXСм. ниже результаты анализов.

Результаты анализов:
 VirusBay образец >>
Гибридный анализ >>
VirusTotal анализ >>
VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (iD as FRSRansomware)
 Write-up, Topic of Support
 🎥 Video review >>
 - видео предоставлено сервисом ANY.RUN
 Thanks: 
 Karsten Hahn
 сервисам ANY.RUN, VWRay
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton