RSA2048Pro Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Написан на C#. Оригинальное название: не указано. На файле написано: enbild.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: RSA2048Pro > Pulpy, Rozlok
К зашифрованным файлам добавляется расширение .aes
Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Instruction.txt
Содержание записки о выкупе:
Hello! Your files have been automatically protected using RSA-2048 to prevent any possible case of identity theft, this is for your own security. To resolve this issue kindly contact us on by email rsa2048pro@unseen.is
Перевод записки на русский язык:
Привет! Ваши файлы автоматически защищены с RSA-2048 для предотвращения возможной кражи личных данных, для вашей безопасности. Для решения проблемы пишите нам на email: rsa2048pro@unseen.is
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Примечательно, что сначала шифрует файлы, написанные за последние 3 месяца.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
enbild.exe
Instruction.txt
VID484727190.exe
Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxxs://whoer.net/download/whoer.exe
Email: rsa2048pro@unseen.is
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Примечание 1 (подробности в статье):
1) Шифрование:
Генерирует открытые и закрытые RSA-ключи.
Генерирует случайное число как вход (пароль) для генерации AES-ключа.
Шифрует файлы, используя вновь созданного AES-ключ.
Шифрует AES-ключ с открытым RSA-ключом.
Добавляет зашифрованный AES-ключ в зашифрованный файл.
2) Дешифрование:
Находит зашифрованный файл.
Находит файл для зашифрованного AES-пароля.
Считывает из памяти зашифрованный пароль для AES-ключа.
Использует закрытый RSA-ключ для дешифрования AES-пароля.
Использует простой текст этого пароля как вход для AES-дешифрования.
-----
Обновление от 9 апреля 2018:
Пост в Твиттере >>
Расширение: .aes
Email: morghoolius-valaar@protonmail.com
Файл: enbild.exe
Также используются названия: ShiOne, Pulpy & Rasoon
Содержание записки:
Hello. There are vulnerabilities detected on your server. All your files are encrypted. For information on decoding, please write to the e-mail morghoolius-valaar@protonmail.com
Результаты анализов: VT
Обновление от 11 апреля 2018:
Пост в Твиттере >>
Email: gennadiybukin@tutanota.com
pavlikmorozov@india.com
Содержание записки:
Your files are encrypted with a special key. No one will help you, only the key that can be purchased from us. I recommend to write faster, otherwise the price will grow as a key.
gennadiybukin@tutanota.com pavlikmorozov@india.com
Результаты анализов: VT
Обновление от 17 мая 2018:
Расширение: .aes
Записка: Instruction.txt
Файл: enbild.exe
Результаты анализов: VT
Read to links: Tweet on Twitter ID Ransomware (ID as RSA2048Pro) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.