Encryptor RaaS Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Encryptor RaaS.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: Encryptor RaaS
К зашифрованным файлам никакое расширение не добавляется. Файлы сохраняют свои оригинальные расширения.
Активность этого крипто-вымогателя пришлась на конец июля 2015 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: cryptor_raas_readme_liesmich.txt
Содержание записки о выкупе:
ATTENTION!
The files on your computer have been securely encrypted by Encryptor RaaS.
To get access to your files again, follow the instructions at:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ACHTUNG!
Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
Перевод записки на русский язык:
ВНИМАНИЕ!
Файлы на вашем компьютере надежно зашифрованы Encryptor RaaS.
Чтобы снова получить доступ к своим файлам, следуйте инструкциям на странице:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ВНИМАНИЕ!
Файлы на вашем компьютере были зашифрованы с помощью Encryptor RaaS.
Чтобы восстановить доступ к своим файлам, следуйте инструкциям:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
Также информатором жертвы выступает сайт оплаты выкупа Encryptor RaaS Decryptor.
Через трое суток сумма выкупа будет удвоена.
Технические детали
Этот RaaS или Ransomware-как-услуга позволяет аффилиатам генерировать крипто-вымогатель и распространять по своему усмотрению. Партнерская система Ransomware размещается в сети TOR и позволяет посетителю создавать исполняемый файл Ransomware, просто вводя биткоин-адрес, на который они хотят получать выкуп, и денежную сумму, которую они хотят получить. Затем разработчик RaaS выполнит оставшуюся часть работы, собирая и проверяя платежи, выдавая расшифровщики, а затем отправляя партнёрские платежи партнерам. Себе разработчик RaaS оставляет 20% от собранных выкупов.
Эта аффилированная система похожа на ту, что использовалась в ToxCrypt Ransomware, за исключением того, что эта служба имеет несложную настройку и несуществующую партнерскую консоль. Фактически, партнер должен полагаться на свой собственный метод распространения, чтобы определить, сколько из них было установлено, и доверять разработчику RaaS в доставке платежей за собранные выкупы.
Аффилиаты могут распространять крипто-вымогатель с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Сама программа Encryptor RaaS не удаляет теневые копии файлов или не удаляет зашифрованные файлы. Поэтому, если партнёр-аффилиат не включит этого в свой метод распространения, можно восстановить файлы с помощью программы Shadow Explorer или программ для восстановления файлов.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.abw, .accdb, .ai, .aif, .arc, .as, .asc, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .crt, .csr, .cue, .c++, .dds, .dem, .dmg, .doc, .docm, .docx, .dsb, .dwg, .dxf, .eddx, .edoc, .eml, .emlx, .eps, .epub, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gif, .gpx, .gz, .h, .hbk, .hdd, .hds, .hpp, .h++, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpf, .jpeg, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nes, .note, .nrg, .nri, .ods, .odt, .ogg, .ova, .ovf, .oxps, .p2i, .p65, .p7, .pages, .pct, .pdf, .pem, .phtm, .phtml, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .pspimage, .pst, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .ra, .rar, .raw, .rm, .rtf, .s, .sbf, .set, .skb, .slf, .sme, .smm, .spb, .sql, .srt, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tar, .tc, .tex, .tga, .thm, .tif, .tiff, .toast, .torrent, .tpl, .ts, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .wbverify, .wav, .webm, .wmb, .wpb, .wps, .xdw, .xlr, .xls, .xlsx, .xz, .yuv, .zip, .zipx (229 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускает при шифрование файлы wallet.dat, относящиеся к биткоин-кошелькам, которые могут понадобиться жертвам для оплаты выкупа.
Файлы, связанные с этим Ransomware:
cryptor_raas_readme_liesmich.txt
encryptor_raas.exe
encryptor_raas_5fb1ce2e6417301971e617e8357d7291b33ebf96.exe
<random>.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxxs://decryptoraveidf7.onion.to/***
BTC: 12tdtfVGv3FL31BCd4v9toYH19ALhJ8un
18V5wVhitNnYaoV3iqAmNVigtYBJzRcztz
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
ANY.RUN анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Encryptor RaaS) Write-up, Topic of Support *
Thanks: Lawrence Abrams, BleepingComputer Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.