4rw5w

4rw5w Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем использует DES для шифрования ключа AES. Требует выкуп в $30 в BTC, чтобы вернуть файлы. Оригинальные названия: 4rw4w и 4rw5wDecryptor. Среда разработки: Visual Studio 2015. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .4rwcry4w

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
4rw5wDecryptor
WARNING
we have encrypted your files with 4rw5w crypt virus !
Your important files : photos, videos, documents, etc, were encrypt with our 4rw5w crypt virus.
The only way to get your files back is to pay us 30$ in Bitcoins. Otherwise, your files will be lost.
Caution: Removing of 4rw5w crypt virus will not restore access to your encrypted files.
[+] What happened To my files?
Understanding the issue
[+] How can i Get my files back?
The only way Is To pay For the decryption key !
[+] What should i Do Next?
Buy the decryption Key for 30$ worth in Bitcoins !
Bitcoin Adress to buy the decryption key :  16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Encrypted Files: 0
Decrypted Files: 0
button [Decrypt]

Перевод записки на русский язык:
4rw5wDecryptor
ПРЕДУПРЕЖДЕНИЕ
Мы зашифровали ваши файлы с помощью криптовируса 4rw5w!
Ваши важные файлы: фотографии, видео, документы и т. д. были зашифрованы с помощью нашего криптовируса 4rw5w.
Единственный способ вернуть ваши файлы - это заплатить нам 30$ в биткойнах. В противном случае ваши файлы будут потеряны.
Внимание. Удаление криптовируса 4rw5w не приведет к восстановлению доступа к зашифрованным файлам.
[+] Что случилось с моими файлами?
Понимание проблемы
[+] Как я могу вернуть свои файлы?
Единственный способ - заплатить за ключ дешифровки!
[+] Что мне делать дальше?
Купите ключ дешифровки за 30 долларов в биткойнах!
Биткойн-адрес для покупки ключа дешифрования: 16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Зашифрованные файлы: 0
Расшифрованные файлы: 0
Кнопка [Расшифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

В чем-то хочет подражает WanaCry: имеет kill switch, похожие имена файлов ключей.

Список файловых расширений, подвергающихся шифрованию:
.avi, .dll, .DOC, .DOCX, .DOT, .DOTM, .exe, .jpg, .lnk, .mp3, .mp4, .NEF, .ODT, .PDF, .pif, .png, .png, .rar, .txt, .url, .wav, .zip (22 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
4rw4w.exe
4rw5wDecryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***f5t6f090z5f5hf5h.com - kill switch
***www.ftthf5t6f090z5f5hf5h.com - kill switch
***placed.net/aaw8dh2na99h87a.txt
***www.lolaail.bpl
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as 4rw5w)
 Write-up, Topic
 Video review

 Thanks: 
 BleepingComputer‏ 
 Michael Gillespie
 GrujaRS
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.