Если вы не видите здесь изображений, то используйте VPN.

понедельник, 18 января 2016 г.

RackCrypt, MVP Locker

RackCrypt Ransomware

MVP Locker Ransomware 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.3 BTC, чтобы вернуть файлы. Оригинальное название: MVP Locker. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .rack

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: rackinfo.txt


Содержание записки rackinfo.txt:
Your PC was infected with MVP Locker which encrypts all your personal files: music, video, images and so on. Now to get everything back you have to pay. You can clean your PC from this program, however in case you want to get all your data back we do not recommend do that since we will verify the existence of files, and if you tried to eliminate this program you have no chances to get encrypted data back even in case you did a payment.
The payment proceed in bitcoin currency, We won't provide you with the informatation how you can create your own wallet and put money on it, everything you can find using internet. There is enough info about it.
// ==========================
There is information that you might need:
bitcoin wallet number (you should make your paymenton on this address): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
e-mail support address (use this in case you have problems you can't solve): mvplocksvc@yahoo.com

Перевод записки на русский язык:
Ваш ПК был заражен MVP Locker, который шифрует все ваши личные файлы: музыку, видео, изображения и т.д. Теперь, чтобы получить все обратно, вы должны заплатить. Вы можете очистить свой компьютер от этой программы, однако, если вы хотите вернуть все свои данные, мы не рекомендуем это делать, так как мы проверим наличие файлов, и если вы попытаетесь устранить эту программу, у вас не будет шансов вернуть зашифрованные данные даже в случае, если вы заплатили.
Оплата производится в биткоин-валюте. Мы не предоставим вам информацию о том, как вы можете создать свой собственный кошелек и положить на него деньги, все, что вы можете найти с помощью Интернета. Об этом достаточно информации.
// ==============================
Есть информация, которая вам понадобится:
биткойн-кошелек (вы должны заплатить на этот адрес): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
email-адрес поддержки (используйте это, если у вас проблемы, которые не можете решить): mvplocksvc@yahoo.com


Запиской с требованием выкупа выступает экран блокировки с кнопками.

При нажатии на кнопку "files" открывается файл rackfiles.txt со списком зашифрованных файлов. 

При нажатии на кнопку "info" открывается записка о выкупе rackinfo.txt.

При нажатии на кнопку "copy" адрес биткоин-кошелька, указанный в сообщении, помещается в буфер обмена.

При нажатии на кнопку "decrypt" открывается следующее сообщение.

По данным Microsoft ещё должно быть изображение rack.jpg, встающее обоями Рабочего стола. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .ank, .apk, .arch00, .arw, .asset, .avi , .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db0, .dba, .dbf , .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .et, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hpp, .hvpl, .ib, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wall, .wb2  .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (197 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rackinfo.txt - запсик ао выкупе
rackfiles.txt - содержит список зашифрованных файлов
rack.jpg - изображение, заменяющее обои
firefox.exe
loader.exe
smss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\<exe_ransom>.exe
%TEMP%\rackfiles.txt
%TEMP%\rackinfo.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mvplocksvc@yahoo.com
BTC: 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RackCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *