Anti-1C, RDP-WinRAR

Anti-1C Ransomware

RDP-WinRAR Ransomware

(rar-вымогатель)

Этот rar-вымогатель блокирует данные ПО 1С и другие базы данных на серверах и помещает их в архив, защищённый паролем, а затем требует написать на email вымогателей, чтобы заплатить выкуп, получить пароль и вернуть файлы. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: архиваторы-вымогатели >> RDP-WinRAR, Anti-1C

К заблокированным в архив файлам добавляется расширение .rar

Активность этого крипто-вымогателя известна с 2016 по 2017 г. Ориентирован на русскоязычных пользователей и серверы с настройками по умолчанию, что позволяет распространять его и в других странах.

Записка с требованием выкупа называется: любое произвольное название на русском языке: Важно!!!.txt, Прочтите!!!.txt и пр.

Перевод записки на русский язык (август 2016):
К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. 
За паролем, Вы можете обратиться, написав на электронный адрес winrar@protonmail.com
В письме укажите свой ip адрес 00.000.000.000
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Перевод записки на русский язык (ноябрь 2017):
К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. 
За паролем, Вы можете обратиться, написав на электронный адрес si4im@protonmail.com
В письме укажите свой ip адрес 00.000.000.000
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. 
Вполне возможно, что затем выполняется ручное архивирование файлов после входа на взломанный сервер. 

Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ ВНИМАНИЕ! В качестве дополнительного средства злоумышленниками может использоваться легитимная программа Process Hacker или ей подобная. Проверьте, не появилась ли папка "Process Hacker 2" в корневых директориях дисков и в директориях Пользователя: "Документы", "Музыка", "Видео". 

➤ Перед шифрованием с помощью хакерских инструментов останавливает ряд служб, в том числе 1С и SQL, которые в данный момент выполняются.  

Список файловых расширений, подвергающихся шифрованию:
Файлы 1С и базы данных не шифруются, а только помещаются в архив. 

Файлы, связанные с этим Ransomware:
файл-архив (.zip или .rar): 
файл или файлы шифровальщика, 
файл rar.exe, 
файл processhacker.exe

Расположения:
C:\ ->
корневая директория сервера с настройками по умолчанию (открытый RDP)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: winrar@protonmail.com
si4im@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 *
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.