FRS Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальные названия: FRS Ransomware и FRS Decryptor. Разработчик: FIFCOM Corp.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .FRS
Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на китайских и англоязычных пользователей, что помогает распространять его по всему миру. В распространении, видимо, с июля 2017.
Записка с требованием выкупа называется:
READ_ME_HELP_ME.txt
Запиской с требованием выкупа выступает также изображение READ_ME_HELP_ME.png, встающее обоями Рабочего стола. Ему предшествует показ показ изображения с китайским флагом.
Содержание записки о выкупе:
Ooops,your important files have been encrypted!
***FRS Ransomware***Chinese text***FRS Decryptor***
Is the content of your files not readable?
It is normal,because your important files have been encrypted by the "FRS Ransomware".
It means your files are NOT DAMAGED!Your files are just encrypted.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is use special decryption tool "FRS Decryptor".
Please wait for "FRS Decryptor" to start automatically.
If "FRS Decryptor" does not start automatically, open "FRS Decryptor" on the desktop.
Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
***FRS Ransomware***китайский текст***FRS Decryptor***
Содержимое ваших файлов недоступно для чтения?
Это нормально, потому что ваши важные файлы зашифрованы "FRS Ransomware".
Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы.
С этого момента вы не сможете использовать ваши файлы, пока они не будут дешифрованы.
Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FRS Decryptor".
Подождите, пока "FRS Decryptor" запустится автоматически.
Если "FRS Decryptor" не запускается автоматически, откройте "FRS Decryptor" на рабочем столе.
Содержание руководства FRS Decryptor
FRS Decryptor FRS Ransomware
---
Decrypt all files you should buy Advanced Edition FRS Decryptor.
Way of buying:Send 0.050 bitcoins to the specified address(Worth about $303).
Address:1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwX
Send a message to the E-mail address after payment:
E-mail: FRSDecryptor@fifcom.cn
Title: Buy FRS Decryptor
Content: Your payment information
You will get a reply after send E-mail,The message contains an activation code,
Please enter below.
Press [Enter] to confirm,FRS Decryptor will decrypt all encrypted files
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Скомпилирован с помощью "Quick Batch File Compiler".
➤ Данный скриншот демонстрирует показ экран, сообщающего о нелицензионной версии Windows, за которой скрыт экран FRS Decryptor.
Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .exe, .flv, .gif, .lnk, .m4a, .mkv, .mp4, .odp, .ods, .pdf, .png, .ppt, .rtf, .swf, .wav и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, флеш-файлы, exe-файлы и пр.
Файлы, связанные с этим Ransomware:
FRS.exe
FRS_Decryptor.exe
READ_ME_HELP_ME.txt
READ_ME_HELP_ME.png
CV9P5M85.bat
01T92RG5.bat
Chinese_national_flag.png
1.txt
temp.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\CV9P5M85.bat
\Temp\01T92RG5.bat
\FRSDecryptor\1.txt
\FRS_TEMP\temp.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: FRSDecryptor@fifcom.cn
xxxxs://www.abyssmedia.com/
BTC: 1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwXСм. ниже результаты анализов.
Результаты анализов:
Ⓥ VirusBay образец >>
Гибридный анализ >>
VirusTotal анализ >>
VMRay анализ >>
ANY.RUN анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (iD as FRSRansomware) Write-up, Topic of Support 🎥 Video review >>
- видео предоставлено сервисом ANY.RUN
Thanks: Karsten Hahn сервисам ANY.RUN, VWRay * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.