RansomBlox Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует играть в Roblox не менее 1 часа, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: RansomBlox.exe
---
Обнаружения:
DrWeb -> Trojan.Encoder.32330
BitDefender -> Trojan.GenericKD.34293913
Avira (no cloud) -> TR/Agent.hzdbf
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AAZ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> ***
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent - > Msil.Trojan.Filecoder.Gcd
TrendMicro -> Ransom_Gen.R002C0WH720
---
© Генеалогия: ??? >> RansomBlox
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .<random{8}>
Примеры таких расширений:
.0LRPZdYn
.a7zeb8yf
.ZgOfY3Eg
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало августа 2020 г. Ориентирован на корейских пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
RansomBlox
경고! 당신은 RansomBlox에 감영되었습니다.
파일이 암호화 되었기때문에 종료하면 파일을 복구할 수 없습니다.
파일 복구는 무료입니다. 제한시간 안에 로블록스룯 1 시간 이상 플레이해
이 프로그램은 FindWindow 대신 ActiveWindow륟 사용하여,
Roblox창 선택이 유지되어 있어야 합니다!
암호화된 파일은 랜덤 확장자를 가집니다 : .0LRPZdYn
---
파일 복구
0시 0분 0초
---
강제종료 (키 파괴)
1시 58분 35초
---
Manual Decryptor
---
당신은 1개의 파일을 무료로 복원할 수 있습니다
---
파일 복구
---
암호화된 파일
목록 보기
Перевод записки на русский язык:
RansomBlox
Предупреждение! Вы были проверены RansomBlox.
Так как файл зашифрован, его нельзя восстановить, если вы выйдете.
Восстановление файлов бесплатно. Играйте в Roblox не менее 1 часа в отведенное время
Эта программа использует ActiveWindow вместо FindWindow,
Необходимо сохранить выбор окна Roblox!
Зашифрованные файлы имеют случайное расширение: .0LRPZdYn
---
Восстановление файлов
0: 0: 0
---
Принудительное завершение (уничтожение ключа)
1:58:35
---
Ручной дешифратор
---
Вы можете восстановить 1 файл бесплатно
---
Восстановление файлов
---
Зашифрованный файл
Посмотреть список
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
RansomBlox.exe
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
DBWinMutex
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >> IA>>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
- видеообзор, сделанный с помощью AnyDesk
Thanks: xiaopao Andrew Ivanov (author) AnuRun to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
