RSAUtil

RSAUtil Ransomware

alexjer554 batary5588 ursa2277

ziz777 Panzergen552 vendetta553

Filegorilla1388 vine77725 panda7499 

jonskuper578 fox2278 lion7872 Tizer78224

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Подробнее о заявлении и его содержании >>

Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Написан на Delphi. Сумма выкупа: $750 или другая. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону: 
.[ransom_email].ID<victim_ID>

Например: 
.helppme@india.com.ID83994902
.some@mail.ru.ID16035194

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_return_files.txt 
Она дублируется изображением, встающим обоями рабочего стола.

 

Содержание записки о выкупе:
Hello my friend!
All files on your PC encryphted!
my email: helppme@india.com or
hepl1112@aol.com

Перевод записки на русский язык:
Привет мой друг!
Все файлы на твоем ПК зашифрованы!
Мой email: helppme@india.com или
hepl1112@aol.com

Содержание текста с экрана блокировки:
WARNING!!!
Your ID 83624883
OUR FILES ARE DECRIPTED
Your documents, photos, database, save games and other important data was encrypted.
Data recovery the necessary interpreter. To get the interpreter, should send an email to helppme@india.com or hepl1112@aol.com.
In a letter to include Your personal ID (see the beginning of this document).
In response to the letter You will receive the address of your Bitcoin wallet to which you want to perform the transfer.
When money transfer is confirmed, You will receive the decrypter file for Your computer.
After starting the programm-interpreter, all Your files will be restored.
Attention! Do not attempt to remove a program or run the anti-virus tools.
_ Красным выделены слова с ошибками, хотя и остальной текст не лучше. 😃

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
Ваш ID 83624883
OUR FILES ARE DECRIPTED
Зашифрованы ваши документы, фотографии, база данных, сохранения игр и другие важные данные.
Восстановить данные нужен интерпретатор. Для получения интерпретатора надо отправить email на helppme@india.com или hepl1112@aol.com.
В письме укажите Ваш личный ID (см. начало этого документа).
В ответ на письмо Вы получите адрес вашего биткойн-кошелька, на который Вы хотите сделать перевод.
Когда денежный перевод будет подтвержден, вы получите файл-декриптер для Вашего компьютера.
После запуска программы-интерпретатора все Ваши файлы будут восстановлены.
Внимание! Не пытайтесь удалить программу или запустить антивирусные программы.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.avi, .cdx, .doc, .docx, .htm, .html, .jpeg, .jpg, .jzip, .mht, .mp3, .mpeg, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .psw, .rar, .txt, .xls, .xlsx, .zip и другие.

Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы веб-страниц, архивы и пр.

Файлы, связанные с этим Ransomware:
How_return_files.txt
<random>.exe
svchosts.exe
NE SPAT.bat
DontSleep_x64.exe
DontSleep_x64.ini
image.jpg
DECODE_ALL_FILES.bat
config.cfg
private.pem
и другие. 

Расположения:
\ufffd\u0a2f\ufffd\ufffd/cripter/

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helppme@india.com и hepl1112@aol.com (от 30.04.2017)
some@mail.ru (от 16.05.2017)
BTC: 1CshTLvSfDrN1ATmC7vBNTkay1MtsA6KVs
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на архив >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 10 мая 2017:
<< Скриншот записки


Обновление от 31 мая 2017:
Email: ziz777@gmx.com, ziz777@india.com
Расширение: .[ziz777@india.com].ID<random_digits8>
Пример зашифрованного файла: Documents.docx.[ziz777@india.com].ID74930660
См. также комментарии Константина Козлова от 31 мая 2017 г. и Denis Karpov от 17 июня 2017. 


Обновление от 5 августа 2017:
Расширение: URSA.ID89817182
Email: ursa2277@gmx.com
ursa2277@yahoo.com
ursa2277@india.com
ursa2277@bk.ru
Записка: How_return_files.txt  
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=56673
*forum.kasperskyclub.ru/index.php?showtopic=56685
<< Скриншот записки на английском языке


Обновление от 3 октября 2017:
Расширение (шаблон): .[alexjer554@gmx.com].ID<victim_ID>
Расширение (пример): .[alexjer554@gmx.com].ID40506070
Email: alexjer554@gmx.com и alexjer554@india.com
Записка: How_return_files.txt
Файлы: NE SPAT.bat, xmrig.exe, svhosts.exe
Папки: \cripter\ и другие. 
Расположения: \AppData\Local\Chrome\xmrig.exe
\cripter\NE SPAT.bat
\cripter\svhosts.exe
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=57157
*forum.kasperskyclub.ru/index.php?showtopic=57214
*forum.kaspersky.com/index.php?/topic/380468-шифровальщик/
<< Скриншот записки на русском языке

Обновление от 23 октября 2017:
Email: batary5588@gmx.com
batary5588@india.com
batary5588@protonmail.com
Файл: svhosts.exe
Результаты анализов: HA+VT

Обновление от 8 ноября 2017:
Расширение (шаблон): .---[robocript@india.com]---.ID<victim_ID> 
Расширение (пример): .---[robocript@india.com]---.ID91977707 
Email: robocript@gmx.us
robocript@india.com
robocript@protonmail.ch 

Обновление от 1 декабря 2017: 
Email: Panzergen552@gmx.de
Panzergen552@protonmail.com
Panzergen552@india.com

Обновление от 12 декабря 2017: 
Расширение (шаблон): .ID<victim_ID>.VENDETTA
Пример расширения: .[ID59147733].VENDETTA
Записка: How_return_files.txt 
Email: vendetta553@gmx.de
vendetta553@india.com
vendetta553@protonmail.com
Тема на форуме: *forum.kasperskyclub.ru/index.php?showtopic=57929

Обновление от 16 декабря 2017: 
Расширение (шаблон): .ID<victim_ID>.GORILLA
Записка: How_return_files.txt  
Email: Filegorilla1388@gmx.de
Filegorilla1388@india.com
Filegorilla1388@protonmail.com
<< Скриншот записки на английском языке
Тема на форуме: *forum.kasperskyclub.ru/index.php?showtopic=57973


Обновление от 30 декабря 2017: 
Записка / Ransom-note: How_return_files.txt 
BTC: 166asTTzXjy8xaw1feimY7s1xwozyy8ACi
Сумма выкупа / Sum of ransom: $2000 (0,155 BTC)
Email: vine77725@gmx.de
vine77725@india.com
vine77725@protonmail.com 
Содержание записки / Contents of note: 
Hello…
For instructions on how to recovery the files, write to me:
vine77725@gmx.de
vine77725@india.com
vine77725@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.

Обновление от 21 января 2018:
Email: panda7499@gmx.de
panda7499@india.com
panda7499@protonmail.com


Обновление от 18 февраля 2018:
Пример расширения с ID: .[ID621xxxxx]
Email: jonskuper578@india.com
jonskuper578@gmx.de
jonskuper578@protonmail.com
Записка: How_return_files.txt
Содержание записки: 
Hello...   :)
For instructions on how to recovery the files, write to me:
jonskuper578@india.com
jonskuper578@gmx.de
jonskuper578@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
Пример темы на форуме >>

Обновление от 5 марта 2018:
Пример расширения с ID: .[ID284xxxxx]
Email: fox2278@india.com
fox2278@protonmail.com
fox2278@gmx.de
Записка: How_return_files.txt
Содержание записки: 
Hello... :)
For instructions on how to recovery the files, write to me:
fox2278@india.com
fox2278@protonmail.com
fox2278@gmx.de
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
---

Обновление от 2 апреля 2018:
Email: lion7872@protonmail.com
lion7872@gmx.de
lion7872@india.com
Содержание записки: 
Hello Friend :)
For instructions on how to recovery the files, write to me:
lion7872@protonmail.com
lion7872@gmx.de
lion7872@india.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
---

Обновление от 4 мая 2018:
Email: Tizer78224@gmx.de
Tizer78224@india.com
Tizer77234@protonmail.com
Содержание записки:
Hi friend...  :)
For instructions on how to recovery the files, write to me:
Tizer78224@gmx.de
Tizer78224@india.com
Tizer77234@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.
Топик на форуме >>


Обновление от 25 июня 2018:
Email: filesreturn247@gmx.de
filesreturn247@india.com
filesreturn247@protonmail.com

ВНИМАНИЕ! 

Для зашифрованных файлов есть частный декодер от Dr.Web. 
Примеры помощи в комментариях ниже. Пишите помощникам на email. 
Увы, публичного дешифровщика нет. 
Или сами закажите расшифровку у Dr.Web по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSAUtil)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 Alex Svirid
 victims of Ransomware (пострадавшие от вымогателей)
 

© Amigo-A (Andrew Ivanov): All blog articles.