Razy

Razy Ransomware

(шифровальщик-вымогатель)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем, по идее, требует выкуп за декриптор, чтобы вернуть файлы обратно. Название придумано его создателями, смысл слова не ясен. 

Обнаружения: 
Dr.Web -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.CD9A087D

© Генеалогия: HiddenTear > Razy

 К зашифрованным файлам добавляется расширение .razy. 

 Активность этого криптовымогателя не была выявлена. Разработчики Razy вышли на связь с исследователями и сообщили, что их проект Razy 2.0 не был предназначен для распространения в Интернете, и они не знают, как и кем исходники были распространены, а затем попали к исследователям. 

Мое мнение: если не хотели распространять, не надо было играться в вымогателей и заниматься самолюбованием - "какие мы крутые, сделали Razy и Razydecrypt". 

Записки с требованием выкупа называются: !! DECRYPT MY FILES !!!.HTML и эпатажный графический файл razy.jpg, встающий обоями рабочего стола. 

Ссылка "PAY HERE" ничего не открывает. 

 Содержание текста с экрана: 
!ATTENTION!
ALL YOUR FILES HAVE BEEN ENCRYPTED - 
OPEN -> !! DECRYPT MY FILES !!.html TO DECRYPT YOUR FILES

 Перевод на русский язык:
!ВНИМАНИЕ!
Все ваши файлы были зашифрованы -
Откройте -> !! DECRYPT MY FILES !!.html. HTML для дешифровки ваших файлов

Razy шифрует все файлы, независимо от расширения, находящиеся на рабочем столе жертвы, а также документы, фото, аудио- и видеофайлы. 

 Файлы, связанные с Ransomware: 
%Desktop%\!! DECRYPT MY FILES !!!.HTML
%Desktop%\razy.jpg

 Записи реестра, связанные с Ransomware:
Параметр установки файла razy.jpg в качестве обоев. 

VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.


Обновление от 14 ноября 2016:
Пост в Твиттере >>
Самоназвание: Razy 5.0
Новое расширение: .razy1337
Файл: Razy 5.0.exe
Результаты анализов: VT + HA
Новая записка, скринлок, блокировщик экрана:

© Amigo-A (Andrew Ivanov): All blog articles.