Reyptson

Reyptson Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200-500€, чтобы вернуть файлы. Оригинальное название: Reyptson Ransomware. На файле написано: Reyptson.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Reyptson 

К зашифрованным файлам добавляется расширение .REYPTSON

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Como_Recuperar_Tus_Ficheros.txt

Содержание записки о выкупе:
Como recuperar tus ficheros del cifrador Reyptson
---
Tienes toda la información en esta web:
xxxxs://37z2akkbd3vqphw5.onion.link/?usuario=4406091797&pass=3411
Si no puedes entrar descarga el navegador tor desde:
xxxxs://www.torproject.org/download/download
y entra a: xxxx://37z2akkbd3vqphw5.onion/?usuario=4406091797&pass=3411
Para poder descifrar tus ficheros tendras que pagar 200€
pero si te retrasas mas de 72H tendras que pagar 500€
Tus datos de acceso son:
Usuario: 4406091797
Contraseña: 3411

Перевод записки на русский язык:
Как восстановить зашифрованные Reyptson файлы
---
xxxxs://37z2akkbd3vqphw5.onion.link***
Если вы не можете ввести, скачайте Tor-браузер из:
xxxxs://www.torproject.org/download/download
и введите: xxxxs://37z2akkbd3vqphw5.onion.link***
Для расшифровки файлов вам придется заплатить 200€
но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500€
Ваши регистрационные данные:
Пользователь: 4406091797
Пароль: 3411

Другим информатором жертвы выступает экран блокировки:

Содержание текста с экрана:
REYPTSON
TUS FICHEROS HAN SIDO CIFRADOS, SI QUIERES RECUPERARLOS SIGUE LAS INSTRUCCIONES
Instrucciones
Accede a este sitio web: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
En el tienes las instrucciones para recuperar tus ficheros y un soporte con el que
podrás contactarnos para recibir asistencia técnica.
Si no puedes acceder puedes entrar bajandote un navegador llamado tor de:
https://www.torproject.org/download/download
Y entrando a: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Para poder descifrar tus ficheros tendrás que pagar 200€ pero si te retrasas mas
de 72H tendrás que pagar 500€

Перевод текста на русский язык:
REYPTSON
Ваши файлы зашифрованы, если вы хотите вернуть их следуйте инструкциям
Инструкции
Перейдите на этот веб-сайт: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
У вас есть инструкции для восстановления файлов и поддержки, по которой
Вы можете связаться с нами для получения помощи.
Если вы не можете получить доступ к сайту, то можете загрузить Tor-браузер:
https://www.torproject.org/download/download
И ввести: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Для расшифровки файлов, вам придется заплатить 200 евро, но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500€

Скриншоты сайта в сети Tor

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивых PDF-файлов), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Фальшивый PDF-файл, который не открывается в Adobe Reader

Когда Reyptson заражает компьютер, то собирает учетные данные SMTP и базу данных контактов из почтовой программы Thunderbird, а затем отправляет всем адресатам следующее спам-сообщение, содержащее вредоносную ссылку:

Основное содержание:
Si tras leer la información de facturación ha localizado algún error no dude en respondernos a este mismo correo con el numero de factura y el numero de pedido.

Перевод на русский:
Если после прочтения платежной информации замечена ошибка, пожалуйста, ответьте нам эту же почту с номером счета и номером заказа.

Это может говорить также о функционале почтового червя. 

Список файловых расширений, подвергающихся шифрованию:
.2000, .accdb, .accde, .accdr, .accdt, .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpp, .cpt, .cs, .cur, .dat, .db, .dds, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dpx, .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .h, .hdri, .hevc, .icer, .icns, .ico, .ics, .idb, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .jpeg, .jpeg-hdr, .jpeg-ls, .kra, .logluv, .miff, .mng, .nrrd, .ora, .pam, .pbm, .pcx, .pdf, .pgf, .pgm, .pictor, .png, .pnm, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psb, .psd, .psp, .qtvr, .ras, .rbe, .sgi, .sldm, .sldx, .sln, .tga, .tiff, .tiff, .txt, .ufo, .ufp, .wbk, .wbmp, .webp, .xbm, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpm, .xr, .xwd  (116 расширений). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы специализированных и прикладных программ и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
%Windir%
%SystemDrive%\Windows.old
%SystemDrive%\Users\default
%SystemDrive%\Users\all users
%SystemDrive%\Users\public
%ProgramFiles%
%SystemDrive%\$Recycle.bin
%SystemDrive%\Program files (x86)
%SystemDrive%\Programdata
%SystemDrive%\System Volume Information
%AppData%

Файлы, связанные с этим Ransomware:
Como_Recuperar_Tus_Ficheros.txt
Reyptson.exe
SpotifyWebHelper.exe
SpotifyWebHelper.pdf
Spotify.vbs
factura.pdf.exe
<random>.exe
<random>.pdf

Расположения и созданные папки:
%APPDATA%\Spotify\
%APPDATA%\Spotify\SpotifyWebHelper\
%APPDATA%\Spotify\SpotifyWebHelper\dat
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.pdf
%APPDATA%\Spotify\SpotifyWebHelper\Spotify.vbs
%APPDATA%\Spotify\SpotifyWebHelper\<random>.pdf
%APPDATA%\Spotify\SpotifyWebHelper\<random>.exe
%user_folders%\Como_Recuperar_Tus_Ficheros.txt

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Spotify Web Helper v1.0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Spotify Web Helper v1.0" = "%AppData%\Spotify\SpotifyWebHelper\Spotify.vbs"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://x.to/***
7z2akkbd3vqphw5.onion***
37z2akkbd3vqphw5.onion***
www.torproject.org/download/download***
ject.org/download/download***
media.blizzard.com/emails/2014-account/lock.png***
www.melvinmusicals.com/facefiles/factura.pdf.rar***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Symantec: Ransom.Reyptson >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 13 ноября 2017:
Пост в Твиттере >>
Файл: factura.pdf.exe
Tor: xxxx://dphux5xrwuaf4yey.onion
Результаты анализов: VT + HA + VT
<< Скриншот страницы Tor-сайта
Распространяется как вредоносное вложение в email или по вредоносной ссылке.
🎥 Video review

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Reyptson)
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx
 MalwareHunterTeam
 Karsten Hahn
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.