пятница, 11 сентября 2015 г.

BabushkaYaga

BabushkaYaga  Ransomware 

BabushkaLocker Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 5000 +/- рублей за дешифратор, чтобы вернуть файлы. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block


Изображение не принадлежит шифровальщику

Шифровальщики "Баба-Яга" и "Бабушка Яга" известны с 2013 года, периодически видоизменялись или перепродавались другим вымогателям. Новая версия появилась в 2015 году, активность продолжалась с ноября 2015 по март 2016. Ориентирован на русскоязычных пользователей, что не мешает распространять его где угодно. Написан на MSIL. 

2015
Записки с требованием выкупа 2015 года называются code.txt и разбрасываются во все папки с зашифрованными файлами, в том числе и на Рабочий стол. 

Содержание записки о выкупе:
Баба Яга зашыфровала все вашы файлы. Пишите на почту yagababushka@yahoo.com для получения инструкций. Не забудьте указать кодовое слово - Guyana
Внимание! Попытки самостоятельно расшифровать файлы приведут лишь к их безвозвратной порче.

Ошибки в тексте: буква "ы" я выделил красным. 

2016 Записки с требованием выкупа 2016 года называются readme!.txt и (или readMe!.txt) разбрасываются во все папки с зашифрованными файлами, в том числе и на рабочий стол. Записку дублирует изображение, встающее обоями Рабочего стола.

Содержание записки о выкупе:
Внимание! Ваши файлы зашифрованы. 
Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. 
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. 
ОБЯЗАТЕЛЬНО укажите ваш ID - 22301012rdj1 

Варианты ID: 
242015123vgb
9201619nsj2
18201617uuj1
272015124et2

Распространяется с помощью email-спама и вредоносных вложений (название документа MS Office на русском с расширениями .exe, .scr, .bat), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

При шифровании выбирается один из 10 публичных RSA-ключей, зашитых в программе. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe Delete Shadows /All /QuietDEL s.bat

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
readme!.txt или readMe!.txt
yaga.exe
s.bat
<random_name>.exe
<random_name>.scr
<random_name>.bat
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
fv13.failiem.lv (87.110.219.224:443 Латвия)
files.fm (104.25.80.116 США)
Email: yaga.babushka@yahoo.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton