RozaLocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 10000 рублей с переводом в биткоины, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .enc
Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: ReadMe.txt
Содержание записки о выкупе:
ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ (ДАЖЕ НЕ СМОТРЯ НА ТО, ЧТО ОНИ ЧАСТИЧНО ОТКРЫВАЮТСЯ). У НАС ТВОЙ ЛОГИН И ПАРОЛЬ ОТ ВКОНТАКТЕ, ОДНОКЛАССНИКОВ, ОНЛАЙН-БАНКОВ И ДРУГИЕ.
У ТЕБЯ ЕСТЬ 6 ЧАСОВ ЧТОБЫ ЗАПЛАТИТЬ ВЫКУПИ ЗА НИХ, ИНАЧЕ МЫ ИХ ВЫЛОЖИМ В ОТКРЫТЫЙ ДОСТУП!
ИНСТРУКЦИЯ:
1) Найди 10 000 (10 тысяч) рублей, не меньше. Подойдет следующее -
(Qiwi, Сбербанк, Яндекс.Деньги, Тинькофф Банк, ВТБ, но лучше Qiwi (быстрее)
2) В браузере открой сайт https://x-pay.cc/ - через данный сайт будешь переводить деньги
3) В графе ОТДАЮ выбери откуда будешь переводить (согласно п.1) и выше введи сумму - 10000 руб.
4) В графе ПОЛУЧАЮ выбери Bitcoin и сверху сумма должна автоматически перевестись в btc
5) В графе ВВОД ДАННЫХ заполняешь свои реквизиты откуда будешь платить и куда переводить (кошелёк Bitcoin)
ВНИМАНИЕ-ВНИМАНИЕ, ПРАВИЛЬНО скопируй этот номер кошельку (да, он такой странный)
3FjtFZWjyj46UcfDY4AiUrEv7wLtyzZv5o
После вставки, внимательно, ещё раз проверь правильно ли скопировал.
6) Нажимаешь ПЕРЕЙТИ К ОПЛАТЕ и следуешь дальнейшим инструкция на сайте.
Через пару часов мы тебе напишем на рабочем столе и вернем всё тебе.
Если есть трудности, то тогда пиши на почтовый ящик - aoneder@mail.ru
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Использует RDP для входа в систему жертвы.
Проверяет наличие некоторых антивирусов (Baidu, Norton).
Пытается получить доступ к редким буквам приводов.
Использует методы анти-виртуализации и анти-отладки.
Проверяет язык системы, IP-адрес компьютера и пр.
В коде имеется множество веб-адресов со всего мира.
UAC не обходит, требуется разрешение, если пользователь даст разрешение, то запускается некая "Игровая программа от Саши Рендера", которая делает вид, что ищет содержимое, демонстрируя надпись "ПОИСК".
Список файловых расширений, подвергающихся шифрованию:
.a3d, .blend,
.dds, .djv, .doc, .docm, .docx, .fb2, .fb3, .jpeg, .jpg, .lwp, .max, .obj, .ods,
.odt, .otf, .pdf, .pdn, .pfa, .pfb, .png, .qpf2, .rft, .svg, .sxc, .sxw, .ttc, .ttf,
.unity, .xls, .xlsm, .xlsx (33 расширения).
Файлы, связанные с этим Ransomware:
Setup.exe
ReadMe.txt
qt_temp.Hp3852
trainer.exe
black.bmp - чёрный фон рабочего стола.
Расположения:
%WINDIR%\qt_temp.Hp3852
%WINDIR%\trainer.exe
C:\ReadMe.txt
C:\Windows\black.bmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
aoneder@mail.ru
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> + без UPX >>
VirusTotal анализ >> + без UPX >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Roza) Video review *
Thanks: Jiri Kropac GrujaRS Thyrex Karsten Hahn
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.