RenLocker, Crypter

RenLocker Ransomware 

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп от 1 до 5 биткоинов, чтобы вернуть файлы. Название дано исследователями от функционала: Rename > Ren + Locker. Оригинальное название: Crypter (в окне блокировщика экрана) и win (название проекта).

© Генеалогия: выясняется.

К якобы зашифрованным файлам добавляется расширение .crypter

На самом деле файлы не шифруются, но переименовываются, получая имя по шаблону [www-hash-part-]+[number]+[.crypter]

Т.е. сначала идёт добавка [www-hash-part-] затем специальный номер, а в конце добавляемое расширение. 

Пример якобы зашифрованных файлов

Активность этого криптовымогателя пришлась на конец ноября 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана "CRYPTER - 2016 Ransomware: Preço de resgate deste server por 5 Bitcoins" с двумя вкладками. 

Содержание текста о выкупе:
ATENÇÃO: Seu computador esta bloqueado!
Seus arquivos importantes foram modificados, portanto impossibilitado de ser usados no momento
Suas fotos, documentos pessoais e trabalhos foram salvos e estão em um HD online podendo ser analizados e vendidos caso não tenha interesse em recupera-los.
Caso desconsidere, ou se de alguma forma equivocada impeça o funcionamento deste aplicativo e tente de alguma forma salvar seus arquivos, fotos, musicas, senhas e gravações dentre outros e não consiga, considero o fim da negaciação pelo resgate de seus arquivos, suas informações pessoais serão vendidos a quem pagar mais e os arquivos serão permanentemente perdidos
O Desbloqueio só é possível via Bitcoins
Os arquivos serão restaurados se for pago seu resgate via Bitcoins. Abaixo segue os links como proceder.
Passo a passo de como criar uma carteira: *****
Como comprar Bitcoins: *****
Valor do resgate de seu computador apenas em valor unitário de: 1 Bitcoins
Carteira para depósito: 13s8W3D5ssWR24Q2wwnftVK7dsbNTez2ym

Перевод на русский язык:
ВНИМАНИЕ: Ваш компьютер заблокирован!
Ваши важные файлы были изменены, потому не могут быть использованы.
Ваши фото, личные документы и документы были сохранены на HD, и могут быть проданы онлайн, если вы не заинтересованы в их восстановлении.
Игнорирование или любое неправильное завершение работы этого приложения и попытка каким-то образом сохранить ваши файлы, фото, музыку, пароли и записи среди других, не будет считаться полноценным возвратом ваших файлов, вашей личной информации, они будут проданы по высокой цене, и файлы будут безвозвратно утеряны.
Разблокирование возможно только через Bitcoins
Файлы будут восстановлены при оплате их выкупа через Bitcoins. Ниже приводится ссылка для продолжения.
Шаг за шагом, как создать кошелек: *****
Как купить Bitcoins: *****
Сумма выкупа вашего компьютера в единице стоимости: 1 биткоин
Bitcoins-кошелек: 13s8W3D5ssWR24Q2wwnftVK7dsbNTez2ym

Блокирощик экрана закрывается комбинацией клавиш Alt+F4. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся лже-шифрованию:
файлы во всех директориях пользователей.

Файлы, связанные с этим Ransomware:
win.exe
file.exe
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов

Сетевые подключения и связи:
youtube.com/watch?v=GCoe-thmHJk
youtube.com/watch?v=2xRDkFDyYQY
ns.adobe.com/xap/1.0/
www.iec.ch/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то RenLocker Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: единичные случаи.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RenLocker)
 Write-up on BC
 *

 Thanks: 
 Jiri Kropac
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.