суббота, 30 июля 2016 г.

R980

R980 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-4096, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название происходит от названия папки с проектом R980. 

 К зашифрованным файлам добавляется расширение .crypt

 Записки с требованием выкупа называются: DECRYPTION INSTRUCTIONS.txt и rtext.txt 

В качестве обоев рабочего стола встает следующий файл:

 Содержание записки о выкупе: 
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server. An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK:
To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
***ссылка на https://www.mailinator.com/***
Please wait up to 24 hours for your decrypter to arrive.

 Перевод записки на русский язык: 
!!!! ВНИМАНИЕ !!!! Ваши файлы зашифрованы! !!!!
ВСЕ ваши документы, фото, базы данных и другие важные файлы были зашифрованы с помощью AES-256 и RSA4096. Вы не сможете восстановить файлы без секретного ключа, который сохранен на нашем сервере. Антивирус не восстановит ваши файлы. 
hxxps: //en.wikipedia.org/wiki/Advanced_Encryption_Standard
КАК ПОЛУЧИТЬ файлы обратно:
Для дешифровки файлов вы должны уплатить 0.5 биткоина (BTC).
Как сделать платеж?
1. Во-первых, вы должны купить Bitcoins (BTC). Можно легко купить Bitcoin на следующем сайте (пропустите этот шаг, если у вас уже есть биткоины).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Отправить 0.5 BTC на следующий адрес – Вы не должны отправлять точную сумму. Вы должны отправить нам по крайней мере эту сумму для подтверждения оплаты.
Bitcoin-адрес: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. После того, как вы заплатили биткоины по указанному выше адресу, мы дадим вам ссылку на декриптер, который исправит ваши файлы.
Он будет направлен на email-аккаунт, который мы создали для Вас:
***ссылка на https://www.mailinator.com/***
Пожалуйста, ждите 24 часа для прихода вашего декриптера.

 Распространяется с помощью email-спама и вредоносных вложений, а также с помощью ссылок на зараженные сайты и P2P-сетей. Для пересылки декриптера вымогатели использовали почтовый сервис mailinator.com

После завершения шифрования вредонос удаляет тома теневых копий файлов. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db,  .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx,  .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (здесь 97 расширений). 

 Файлы, связанные с R980 Ransomware: 
db.txt - данные жертвы
keys.txt - BTC-адрес
f.exe - исполняемый файл

Дополнение от TrendMicro от 10 августа
Показателями компрометации ПК могут быть также файлы:
rtext.txt – записка о выкупе;
status.z – нужен для начального запуска вымогателей;
status2.z – нужен для запуска копии вымогателя;
k.z – содержит загруженные base64 декодированные данные;
fnames.txt – содержит имена зашифрованных файлов.
Итого: R980 шифрует уже 151 тип файлов. 

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton