YourRansom Ransomware
(шифровальщик-НЕ-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает связаться с автором по email, чтобы БЕСПЛАТНО вернуть файлы. Название оригинальное.
© Генеалогия: YourRansom. Начало > EduRansom
К зашифрованным файлам добавляется расширение .youransom
Активность этого крипто-вымогателя не наблюдалась. Образец был выложен на github.com и представлен в начале февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: README.txt
Содержание записки о выкупе:
Hey gay, welcome to use YourRansom. Do you like this joke? Contact me to decrypt your files, it's free! Email: i@bobiji.com
Перевод записки на русский язык:
Привет, парень, приглашая к пользованию YourRansom. Нравится ли вам эта шутка? Контакт со мной, чтобы расшифровать файлы, это бесплатно! E-mail: i@bobiji.com
Из инструкции автора на сайте github.com:
加密后的key将存于同目录下YourRansom.key文件,该文件解密后得到YourRansom.dkey置于同目录,使用-d参数即可解密。
Перевод инструкции на русский язык:
Ключ-файл YourRansom.key хранится в зашифрованном виде в том же каталоге, где находятся зашифрованные файлы. Файл расшифровываются с помощью файла YourRansom.dkey. Он помещается в тот же каталог с параметром -d для расшифровки.
Ответное письмо автора шутки-разработки:
Send me the YourRansom.key file. I'll return you a YourRansom.dkey file. Put it in the directory of YourRansom binary file and rerun it. Your file will be unlocked.
Перевод ответного письма на русский язык:
Пришли мне файл YourRansom.key. Я верну тебе файл YourRansom.dkey. Положи его в папку с бинарником YourRansom и перезапусти. Твой файл разблокируется.
Технические детали
Распространяется пока через github.com, но в перспективе может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.7z, .avi, .doc, .docx, .gif, .inf, .jpeg, .jpg, .mov, .mp3, .mp4, .mpg, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (20 расширений).
Это документы MS Office, текстовые файлы, фотографии, музыка, видео, архивы и пр.
При шифровании пропускаются файлы, находящиеся в следующих директориях:
Windows
Program
Appdata
System
Файлы, связанные с этим Ransomware:
README.txt
YourRansom.exe
YourRansom.key
YourRansom.dkey
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: i@bobiji.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Расшифровка предоставляется разработчиком. Смотрите email-адрес в тексте статьи. Инструкции есть также в статье EduRansom >>
Read to links: Tweet on Twitter ID Ransomware (ID as YourRansom) Write-up (n/a)
Thanks: Roland Dela Paz, Michael Gillespie Andrew Ivanov (author) *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.