BabushkaYaga

BabushkaYaga  Ransomware 

BabushkaLocker Ransomware 

(шифровальщик-вымогатель)

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 5000 +/- рублей за дешифратор, чтобы вернуть файлы. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block

Изображение не принадлежит шифровальщику

Шифровальщики "Баба-Яга" и "Бабушка Яга" известны с 2013 года, периодически видоизменялись или перепродавались другим вымогателям. Новая версия появилась в 2015 году, активность продолжалась с ноября 2015 по март 2016. Ориентирован на русскоязычных пользователей, что не мешает распространять его где угодно. Написан на MSIL. 

2015
Записки с требованием выкупа 2015 года называются code.txt и разбрасываются во все папки с зашифрованными файлами, в том числе и на Рабочий стол. 

Содержание записки о выкупе:
Баба Яга зашыфровала все вашы файлы. Пишите на почту yagababushka@yahoo.com для получения инструкций. Не забудьте указать кодовое слово - Guyana
Внимание! Попытки самостоятельно расшифровать файлы приведут лишь к их безвозвратной порче.

Ошибки в тексте: буква "ы" я выделил красным. 

2016 Записки с требованием выкупа 2016 года называются readme!.txt и (или readMe!.txt) разбрасываются во все папки с зашифрованными файлами, в том числе и на рабочий стол. Записку дублирует изображение, встающее обоями Рабочего стола.

Содержание записки о выкупе:
Внимание! Ваши файлы зашифрованы. 
Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. 
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. 
ОБЯЗАТЕЛЬНО укажите ваш ID - 22301012rdj1 

Варианты ID: 
242015123vgb
9201619nsj2
18201617uuj1
272015124et2

Распространяется с помощью email-спама и вредоносных вложений (название документа MS Office на русском с расширениями .exe, .scr, .bat), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

При шифровании выбирается один из 10 публичных RSA-ключей, зашитых в программе. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe Delete Shadows /All /QuietDEL s.bat

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
readme!.txt или readMe!.txt
yaga.exe
s.bat
<random_name>.exe
<random_name>.scr
<random_name>.bat
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
fv13.failiem.lv (87.110.219.224:443 Латвия)
files.fm (104.25.80.116 США)
Email: yaga.babushka@yahoo.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *

 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *