воскресенье, 12 марта 2017 г.

RozaLocker

RozaLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 10000 рублей с переводом в биткоины, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe.txt

Содержание записки о выкупе:
ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ (ДАЖЕ НЕ СМОТРЯ НА ТО, ЧТО ОНИ ЧАСТИЧНО ОТКРЫВАЮТСЯ). У НАС ТВОЙ ЛОГИН И ПАРОЛЬ ОТ ВКОНТАКТЕ, ОДНОКЛАССНИКОВ, ОНЛАЙН-БАНКОВ И ДРУГИЕ.
У ТЕБЯ ЕСТЬ 6 ЧАСОВ ЧТОБЫ ЗАПЛАТИТЬ ВЫКУПИ ЗА НИХ, ИНАЧЕ МЫ ИХ ВЫЛОЖИМ В ОТКРЫТЫЙ ДОСТУП!
ИНСТРУКЦИЯ:
1) Найди 10 000 (10 тысяч) рублей, не меньше. Подойдет следующее -
(Qiwi, Сбербанк, Яндекс.Деньги, Тинькофф Банк, ВТБ, но лучше Qiwi (быстрее)
2) В браузере открой сайт https://x-pay.cc/ - через данный сайт будешь переводить деньги
3) В графе ОТДАЮ выбери откуда будешь переводить (согласно п.1) и выше введи сумму - 10000 руб.
4) В графе ПОЛУЧАЮ выбери Bitcoin и сверху сумма должна автоматически перевестись в btc
5) В графе ВВОД ДАННЫХ заполняешь свои реквизиты откуда будешь платить и куда переводить (кошелёк Bitcoin)
ВНИМАНИЕ-ВНИМАНИЕ, ПРАВИЛЬНО скопируй этот номер кошельку (да, он такой странный)
3FjtFZWjyj46UcfDY4AiUrEv7wLtyzZv5o
После вставки, внимательно, ещё раз проверь правильно ли скопировал.
6) Нажимаешь ПЕРЕЙТИ К ОПЛАТЕ и следуешь дальнейшим инструкция на сайте.
Через пару часов мы тебе напишем на рабочем столе и вернем всё тебе.
Если есть трудности, то тогда пиши на почтовый ящик - aoneder@mail.ru


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Использует RDP для входа в систему жертвы. 
Проверяет наличие некоторых антивирусов (Baidu, Norton). 
Пытается получить доступ к редким буквам приводов. 
Использует методы анти-виртуализации и анти-отладки. 
Проверяет язык системы, IP-адрес компьютера и пр. 

В коде имеется множество веб-адресов со всего мира.


UAC не обходит, требуется разрешение, если пользователь даст разрешение, то запускается некая "Игровая программа от Саши Рендера", которая делает вид, что ищет содержимое, демонстрируя надпись "ПОИСК".
На самом деле в этот момент выполняется поиск целевых файлов и их шифрование. 

Список файловых расширений, подвергающихся шифрованию:
.a3d, .blend, .dds, .djv, .doc, .docm, .docx, .fb2, .fb3, .jpeg, .jpg, .lwp, .max, .obj, .ods, .odt, .otf, .pdf, .pdn, .pfa, .pfb, .png, .qpf2, .rft, .svg, .sxc, .sxw, .ttc, .ttf, .unity, .xls, .xlsm, .xlsx (33 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы растровых изображений и векторной графики, файлы разработки двух- и трёхмерных приложений и игр, и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
ReadMe.txt
qt_temp.Hp3852
trainer.exe
black.bmp - чёрный фон рабочего стола.

Расположения:
%WINDIR%\qt_temp.Hp3852
%WINDIR%\trainer.exe
C:\ReadMe.txt
C:\Windows\black.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
aoneder@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> + без UPX >>
VirusTotal анализ >> + без UPX >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Roza)
 Video review
 * 
 Thanks: 
 Jiri Kropac‏ 
 GrujaRS
 Thyrex
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *