Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 11 ноября 2018 г.

GrujaRSorium

GrujaRSorium Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GrujaRSorium. На файле написано: GrujaRSorium.exe. Написан на C#. 
Подробности о шифровании в комментариях после статьи. 

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare, GrujaRSorium, Epoblockl

Родство GrujaRSorium подтверждено IntezerAnalyze

К зашифрованным файлам добавляются расширения: 
.aes
.aesed
.GrujaRS - в модифицированной версии


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, отбрасываемое на Рабочий стол.
GrujaRSorium Ransomware ransom-note шифровальщик
Содержание записки о выкупе (ошибки сохранены):
all your files have been encrypted, if you want to restore it, send 1 encrypted file to it email:
no_restore_it@aol.com
ATTENTION!! You have 1 week to contact us, after 1 week, decrypting has been inposible
* - realy not restore!

Перевод записки на русский язык:
все ваши файлы зашифрованы, если вы хотите их восстановить, отправьте один зашифрованный файл на email:
no_restore_it@aol.com
ВНИМАНИЕ!! У вас есть 1 неделя, чтобы связаться с нами, после 1 недели расшифровка будет невозможна
* - реально не восстанавливать!

Запиской от злоумышленников также выступает следующее диалоговое окно.
GrujaRSorium ransom note записка о выкупе

Содержание записки о выкупе:
All files have been encrypted using unique 32 chars , and AES-256 + RSA-4096 (encryption has not never)! Your files DESTROYED! GrujaRS ******

Перевод записки на русский язык:
Все файлы были зашифрованы с уникальными 32 символами, и AES-256 + RSA-4096 (шифрования не было)! Ваши файлы ПОВРЕЖДЕНЫ! GrujaRS ******

В этой записке разработчик оскорбительно отзывается об исследователе вредоносных программ GrujaRS, из-за чего он и изменил свою первоначальную программу на одноименную и первоначальные расширения .aes и .aesed на .GrujaRS


Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .txt, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (65 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GrujaRSorium.exe (WmiPrvSE.exe)
<random>.exe - случайное название
GrujaRS.png
GrujaRSorium.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: no_restore_it@aol.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video Review >>
 - видеообзор от реального CyberSecurity GrujaRS
 Thanks: 
 Georg Nation, CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *