Rentyr Ransomware
Aliases: Com, PollerYou Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Com.exe, Rentyr.exe
Обнаружения:
DrWeb -> Trojan.Encoder.31009
BitDefender -> Gen:Variant.Barys.53380
Symantec -> ML.Attribute.HighConfidence
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи
К зашифрованным файлам никакое расширение не добавляется.
Этимология названия:
Слово Rentyr напоминает слово Rentier (англ. "рантье") и в русском произношении звучит как Rentyr [рентир, рентыр]. Оно также близко по звучанию к слову "ориентир". Текст вымогатели написали на английском и русском. Русский вариант отличается от английского содержанием и словесными оборотами. Также есть опечатка, которая невозможна при переводе. Также не соблюдается пунктуация, а это тоже ошибки. Если вымогатели не дали своему "творению" названия, автор статьи или исследователь волен назвать это "чудо" по своему усмотрению. В таком случае слова "Rentyr" и "Com" могут использоваться как названия. Из этих двух слов более уникальным является "Rentyr". Получите и распишитесь!
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину февраля 2020 г. Дата компиляции: 12 февраля 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Read-me22.txt
Содержание записки о выкупе:
All your files have been encrypted
Photos, documents, videos, music and other
And shadow copies of files were deleted, so it is impossible to restore them with special programs and contacting specialists
Only we have a decoder
If you want to quickly return your files, you will have to pay us $100.
You have 2 days from the moment of encryption to pay $100 (which is approximately equal to 0.011 BITCOIN)
On day 3, the decryption will become impossible, alas. And you will lose your files forever!
Transfer the required amount to this BTC wallet
bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
or this
bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw
What is BITCOIN, you can find out here, insert the link in the address bar of your browser:
https://en.wikipedia.org/wiki/Bitcoin
How to buy BITCOIN, see here: https://www.youtube.com/watch?v=eXqQt5nR7gk
After payment write to the mail: polleryou1@ctemplar.com or decrypter0203@gmail.com
indicating the time of payment and we will send you the decoder.
And remember, you only have 2 days to pay.
---
Все ваши файлы были зашифрованы
Фотографии, документы, видео, музыка и другое
А теневые копии файлов были удалены, поэтому восстановить их специальными программами и обращенимя к специалистам - невозможно
Только у нас есть дешифратор
Если вы хотите быстро вернуть свои файлы, вам придется заплатить нам 100$.
У вас есть 2 дня с момента шифрования чтобы заплатить 100$ (что приблизительно равняется 0,011 BITCOIN).
На 3 день расшифровка станет невозможной, увы. И вы навсегда потеряете свои файлы!
Переведите нужную сумму на этот BTC кошелек
bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
или этот
bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw
Что такое BITCOIN, вы можете узнать здесь, вставьте ссылку в адресную строку вашего браузера:
https://ru.wikipedia.org/wiki/%D0%91%D0%B8%D1%82%D0%BA%D0%BE%D0%B9%D0%BD
Как купить BITCOIN, смотрите здесь: https://www.youtube.com/watch?v=iUfvsCLhTMU
После оплаты пишите на почту: polleryou1@ctemplar.com или decrypter0203@gmail.com
Указывая время платежа и мы отправим вам дешифратор
И помните, у вас только 2 дня на оплату
Перевод записки на русский язык:
уже сделан вымогателями
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
All your files have been encrypted!
Photos, documents, videos, music and other
If you want to quickly return your files, you will have to pay us $100 to Bitcoin wallet within 2 days
More info in your desktop in file «Read-me22.txt»
Contact Email: polleryou1@ctemplar.com or decrypter0203@gmail.com
---
Все ваши файлы были зашифрованы!
Фотографии, документы, видео, музыка и другие
Если вы хотите быстро вернуть свои файлы, вам придется заплатить 100$ на Bitcoin кошелек в течении 2 дней
Больше информации на вашем рабочем столе в файле «Read-me22.txt»
Почта для связи: polleryou1@ctemplar.com or decrypter0203@gmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Read-me22.txt - название текстового файла
l.bat - некий командный файл
1.jpg - изображение заменяющее обои Рабочего стола
Com.exe, Rentyr.exe - один и тот же исполняемый файл
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: polleryou1@ctemplar.com, decrypter0203@gmail.com
BTC-1: bc1qwctedyrzga4kj2v6jy5nru5ajxh0nptsx7jrzu
BTC-2: bc1q2ehqchyuw4hgaz2mmg78mnegusw6nnxvswrlhw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: S!Ri Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.