RedEye Ransomware
(фейк-шифровальщик, MBR-модификатор, деструктор)
Translation into English
Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: RedEye Ransomware. На файле написано: RedEye.exe и Windows Update. Разработчик: iCoreX.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: предыдущие Ransomware >> Annabelle > RedEye
К зашифрованным файлам добавляется расширение: .RedEye
Изображение принадлежит шифровальщику
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки/
Содержание записки о выкупе:
Your IP: ***
Your PC will be destroyed in 3 Days 1 Hours 48 Minutes 4 Seconds!
Languages 🔻
Some are from goog:e translator.
RedEye Ransomware Home - Encrypted Files - Decrypt Files - Support - Destroy PC
---
All your personal files has been encrypted with an very strong key by RedEye!
(Rijndael-Algorithmus - AES-256 Bit)
The only way to get your files back is:
- Go to xxxx://redeye85x9tbxiyki.onion/tbxlyki - Enter your Personal ID
and pay 0.1 Bitcoins to the adress below! After that you need to click on "Check Payment". Then you will get a special key to unlock your computer.
You got 4 days to pay, when the time is up, then your PC will be fully destroyed!
---
Your Personal ID: V820iJXys
Bitcoin Address: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj
Received: 0 BTC [Check Payment]
Перевод записки на русский язык:
Ваш IP: ***
Ваш компьютер будет уничтожен за 3 дня 1 час 48 минут 4 секунды!
Языки 🔻
Некоторые из переводчиков Google.
RedEye Ransomware Home - Зашифрованные файлы - Расшифровка файлов - Поддержка - Уничтожьте ПК
---
Все ваши личные файлы были зашифрованы RedEye с очень сильным ключом!
(Rijndael-Algorithmus - AES-256)
Единственный способ вернуть ваши файлы:
- Перейдите на xxxx://redeye85x9tbxiyki.onion/tbxlyki - введите свой личный идентификатор
и оплатите 0,1 биткоина на адрес ниже! После этого вам нужно нажать "Check Payment". Затем вы получите специальный ключ для разблокировки компьютера.
У вас есть 4 дня, чтобы заплатить, когда время закончится, тогда ваш компьютер будет полностью уничтожен!
---
Ваш персональный ID: V820iJXys
Биткоин-адрес: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj
Получено: 0 BTC [Проверить платеж]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ UAC не обходит, требуется разрешение на запуск.
➤ После запуска RedEye перезаписывает MBR и перезагружает ПК, используя команду:
C:\Windows\System32\shutdown.exe" -r -t 00 -f
➤ Переписанный MBR содержит ссылку на авторский канал Youtube.
Содержание текста (красные буквы на чёрном фоне):
RedEye Terminated your computer!
The reason for that could be:
- The time has expired
- You clicked on the 'Destroy PC' button
There is no way to fix your PC! Have Fun to try it :)
My YouTube Channel: iCoreX <- Subscribe :P
Add Me on discord!
iCoreX#3333 <- Creator of Jigsau, Annabelle & RedEye Ransoriware! My old discord account named 'iCoreX#1337' got terminated by discord.
➤ После перезагрузки устанавливает в качестве обоев свою картинку с замазанной Джокондой.
➤ Другие деструктивные действия:
- отключает диспетчера задач;
- скрывает логические диски;
- портит файлы вместо шифрования.
➤ Файл вымогателя имеет большой размер: 35,0 МБ (36657152 байта). Потому что содержит несколько звуковых файлов, встроенных в двоичный файл: child.wav, redeye.wav, suicide.wav
Все они воспроизводят "жуткий" звук, цель которого — напугать пользователя.
Список файловых расширений, подвергающихся шифрованию:
.jpg, .png
Это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Новые файлы с расширением .RedEye пустые. Старые удалены.
Уплата выкупа бесполезна!
Файлы, связанные с этим Ransomware:
windows.exe - исполняемый файл вымогателя
autorun.inf - файл автозапуска на внешних носителях
redeyebmp.bmp - изображение, заменяющее обои
<random>.exe - файл с случайным названием
child.wav - звуковой файл
redeye.wav - звуковой файл
suicide.wav - звуковой файл
桌面\腾讯QQ.lnk - ярлык на загрузку
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\redeyebmp.bmp
C:\windows.exe
C:\autorun.inf
C:\DiskD\windows.exe
C:\DiskD\autorun.inf
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: xxxx://redeye85x9tbxiyki.onion/tbxIyki
BTC: 1JSHVxXnGDydVXVamFW9AEmk3vk8cF8Vuj
Discord: iCoreX#3333 и iCoreX#1337
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >> HA by iCoreX>>
𝚺 VirusTotal анализ >> VT>> VT>> VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as RedEye) Write-up, Topic of Support *
Thanks: Jakub Kroustek, Bart Michael Gillespie ANY.RUN Andrew Ivanov
© Amigo-A (Andrew Ivanov): All blog articles.
