суббота, 25 июля 2015 г.

Encryptor RaaS

Encryptor RaaS Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Encryptor RaaS
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Encryptor RaaS

К зашифрованным файлам никакое расширение не добавляется. Файлы сохраняют свои оригинальные расширения. 

Активность этого крипто-вымогателя пришлась на конец июля 2015 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: cryptor_raas_readme_liesmich.txt

Содержание записки о выкупе:
ATTENTION!
The files on your computer have been securely encrypted by Encryptor RaaS.
To get access to your files again, follow the instructions at:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ACHTUNG!
Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Перевод записки на русский язык:
ВНИМАНИЕ!
Файлы на вашем компьютере надежно зашифрованы Encryptor RaaS.
Чтобы снова получить доступ к своим файлам, следуйте инструкциям на странице:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ВНИМАНИЕ!
Файлы на вашем компьютере были зашифрованы с помощью Encryptor RaaS.
Чтобы восстановить доступ к своим файлам, следуйте инструкциям:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Также информатором жертвы выступает сайт оплаты выкупа Encryptor RaaS Decryptor.

Через трое суток сумма выкупа будет удвоена. 



Технические детали

Этот RaaS или Ransomware-как-услуга позволяет аффилиатам генерировать  крипто-вымогатель и распространять по своему усмотрению. Партнерская система Ransomware размещается в сети TOR и позволяет посетителю создавать исполняемый файл Ransomware, просто вводя биткоин-адрес, на который они хотят получать выкуп, и денежную сумму, которую они хотят получить. Затем разработчик RaaS выполнит оставшуюся часть работы, собирая и проверяя платежи, выдавая расшифровщики, а затем отправляя партнёрские платежи партнерам. Себе разработчик RaaS оставляет 20% от собранных выкупов.

Эта аффилированная система похожа на ту, что использовалась в ToxCrypt Ransomware, за исключением того, что эта служба имеет несложную настройку и несуществующую партнерскую консоль. Фактически, партнер должен полагаться на свой собственный метод распространения, чтобы определить, сколько из них было установлено, и доверять разработчику RaaS в доставке платежей за собранные выкупы. 

Аффилиаты могут распространять крипто-вымогатель с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Сама программа Encryptor RaaS не удаляет теневые копии файлов или не удаляет зашифрованные файлы. Поэтому, если партнёр-аффилиат не включит этого в свой метод распространения, можно восстановить файлы с помощью программы Shadow Explorer или программ для восстановления файлов. 

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.abw, .accdb, .ai, .aif, .arc, .as, .asc, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .crt, .csr, .cue, .c++, .dds, .dem, .dmg, .doc, .docm, .docx, .dsb, .dwg, .dxf, .eddx, .edoc, .eml, .emlx, .eps, .epub, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gif, .gpx, .gz, .h, .hbk, .hdd, .hds, .hpp, .h++, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpf, .jpeg, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nes, .note, .nrg, .nri, .ods, .odt, .ogg, .ova, .ovf, .oxps, .p2i, .p65, .p7, .pages, .pct, .pdf, .pem, .phtm, .phtml, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .pspimage, .pst, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .ra, .rar, .raw, .rm, .rtf, .s, .sbf, .set, .skb, .slf, .sme, .smm, .spb, .sql, .srt, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tar, .tc, .tex, .tga, .thm, .tif, .tiff, .toast, .torrent, .tpl, .ts, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .wbverify, .wav, .webm, .wmb, .wpb, .wps, .xdw, .xlr, .xls, .xlsx, .xz, .yuv, .zip, .zipx (229 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает при шифрование файлы wallet.dat, относящиеся к биткоин-кошелькам, которые могут понадобиться жертвам для оплаты выкупа. 

Файлы, связанные с этим Ransomware:
cryptor_raas_readme_liesmich.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://decryptoraveidf7.onion.to/***
BTC: 12tdtfVGv3FL31BCd4v9toYH19ALhJ8un
18V5wVhitNnYaoV3iqAmNVigtYBJzRcztz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton