Suri Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Suri. На файле написано: Suri.exe
© Генеалогия: Stupid (FTSCoder) >> Suri
К зашифрованным файлам добавляется расширение: .SLAV
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на итальянских пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки, диалоговое окно и изображение, заменяющее обои.
Содержание записки о выкупе:
O no, tutti i tuoi file personali sono stati cryptati :(
Come faccio a decryptarli?
---
Ciao utente,
tutti i tuoi file personali sono stati cryptati.Non si toma piu indietro ormai.
Riawiando o altro non risolvi nulla. Ora forse ti chiederai come fare.
Semplice! Invia una somma di 100 Euro in bitcoin all'indirizzo sottostante.
Tgliendomi condannerai tutti i tuoi file.
Perche ? Solo io sono in grado di decryptare tutti tuoi file e solo io ho la
chiave pubblica.
Dopo aver pagati che succede ?
Tutti i tuoi file personali verrano decryptati e io mi auto elimino.
---
Non ho 100 Euro e rivoglio i miei file
Indirizzo BitCoin
File cryptati con successo!
---
Hai 360 minuti
360 minuti rimanenti
360 = 60 H
[Quali file sono stati cryptati ?]
[Ho pagato !Rivoglio i miei file!]
Bitcoin?
Перевод записки на русский язык:
О нет, все твои личные файлы были зашифрованы :(
Как я могу их расшифровать?
---
Привет, пользователь,
все твои личные файлы зашифрованы. Теперь ты не можешь их вернуть.
Перезапуск или больше ты ничего не решишь. Может теперь тебе будет интересно, как это сделать.
Просто! Отправь сумму 100 евро в биткоинах по указанному ниже адресу.
Потом ты сможешь вернуть все свои файлы.
Почему? Только я могу расшифровать все твои файлы, и только у меня есть открытый ключ.
Что быдет после оплаты?
Все твои личные файлы будут расшифрованы, а программа автоудалится.
---
У меня нет 100 евро, но я хочу вернуть свои файлы
Адрес BitCoin
Файл успешно зашифрован!
---
У вас есть 360 минут
Осталось: 360 минут
360 = 60 H
[Какие файлы были зашифрованы?]
[Я заплатил, я хочу вернуть свои файлы!]
Bitcoin?
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Stupid) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
