вторник, 1 августа 2017 г.

RSA2048Pro

RSA2048Pro Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Написан на C#. Оригинальное название: не указано. На файле написано: enbild.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hello! Your files have been automatically protected using RSA-2048 to prevent any possible case of identity theft, this is for your own security. To resolve this issue kindly contact us on by email rsa2048pro@unseen.is

Перевод записки на русский язык:
Привет! Ваши файлы автоматически защищены с RSA-2048 для предотвращения возможной кражи личных данных, для вашей безопасности. Для решения проблемы пишите нам на email: rsa2048pro@unseen.is



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что сначала шифрует файлы, написанные за последние 3 месяца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
enbild.exe
Instruction.txt
VID484727190.exe

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxxs://whoer.net/download/whoer.exe
Email: rsa2048pro@unseen.is
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Примечание 1 (подробности в статье):
1) Шифрование: 
Генерирует открытые и закрытые RSA-ключи.
Генерирует случайное число как вход (пароль) для генерации AES-ключа.
Шифрует файлы, используя вновь созданного AES-ключ.
Шифрует AES-ключ с открытым RSA-ключом.
Добавляет зашифрованный AES-ключ в зашифрованный файл.

2) Дешифрование: 
Находит зашифрованный файл.
Находит файл для зашифрованного AES-пароля.
Считывает из памяти зашифрованный пароль для AES-ключа.
Использует закрытый RSA-ключ для дешифрования AES-пароля.
Использует простой текст этого пароля как вход для AES-дешифрования.

-----

Обновление от 9 апреля 2018:
Пост в Твиттере >>
Расширение: .aes
Email: morghoolius-valaar@protonmail.com
Файл: enbild.exe
Также используются  названия: ShiOne, Pulpy & Rasoon
Содержание записки: 
Hello. There are vulnerabilities detected on your server. All your files are encrypted. For information on decoding, please write to the e-mail morghoolius-valaar@protonmail.com
Результаты анализов: VT

Обновление от 11 апреля 2018:
Пост в Твиттере >>
Email: gennadiybukin@tutanota.com
pavlikmorozov@india.com
Содержание записки:
Your files are encrypted with a special key. No one will help you, only the key that can be purchased from us. I recommend to write faster, otherwise the price will grow as a key.
gennadiybukin@tutanota.com pavlikmorozov@india.com
Результаты анализов: VT

Обновление от 17 мая 2018:
Расширение: .aes
Записка: Instruction.txt
Файл: enbild.exe
Результаты анализов: VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton