EncFileSOS

EncFileSOS Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации различных алгоритмов (DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, ГОСТ 28147-89, IDEA, Tea, CAST-128, CAST-256, ICE, Twofish, Serpent, MARS, MISTY1). Способ шифрования выбирается исходя из значения  параметра, получаемого в конфигурационном XML-файле. Затем после шифрования оставляет записку с требованием выкупа, в которой требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. По сообщениям специалистов из DrWeb, чаще используется шифрование RC4 (модифицированный алгоритм) + DES. Оригинальное название: в записке не указано. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> Trojan.Encoder.225
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: более ранние варианты >> EncFileSOS > MrCrTools,  Rakhni Family

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре - октябре 2013, а позже появились новые модификации. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .encfilesos@aol.com

Записка с требованием выкупа называется: 

KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT

Вероятно, должен быть еще англоязычный вариант HOW_TO_DECRYPT_YOUR_FILES.TXT, но в изученном варианте он оказался зашифрован. 

Содержание записки о выкупе (вариант сентября 2013):

Все вaши файлы dос,xls,рdf,jpg бaзы дaнныx зaшифpoвaны.

Чтобы купить дешифратор напишите нам на email:

encfilesos@aol.com

В теме письма укажите ваш ID.

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, можете приложить любой файл и мы его расшифруем (базы данных для теста не расшифровываем!)

ID:F05DB***

---------------------------------------------------------------------------------

Содержание записки о выкупе (вариант октября 2013):

Все вaши файлы и бaзы дaнныx зaшифpoвaны.

Расшифровка платная. 

Чтобы купить дешифратор свяжитесь с нами по email:

encfilesos@aol.com

В теме письма укажите ваш ID (ID05EF2***)

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)

--------------------------------------------------------------------

ID:05EF2***

--------------------------------------------------------------------

Все вaши файлы и бaзы дaнныx зaшифpoвaны.

Расшифровка платная. 

Чтобы купить дешифратор свяжитесь с нами по email:

encfilesos@aol.com

В теме письма укажите ваш ID (ID05EF2***)

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)

--------------------------------------------------------------------

ID:05EF2***

--------------------------------------------------------------------

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

 Может распространяться с помощью email-спама и вредоносных вложений. (это может быть номер какого-то заказа, например "Заказ №320123543",  имитация письма из банка, например о задолженности), обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

 В момент открытия вложенного файла, содержащего известный эксплоит к CVE2012-0158, вредоносный файл проникает на компьютер жертвы, используя уязвимость Microsoft Office. После начала действия вируса файлы Excel, Word, фото, архивы, базы данных 1С, аудио-файлы будут зашифрованы. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT - название файла с требованием выкупа на русском языке;

HOW_TO_DECRYPT_YOUR_FILES.TXT - название файла с требованием выкупа на английском языке;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encfilesos@aol.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Topic of Support, Topic of Support
 DrWeb расшифровали множество файлов после Trojan.Encoder.225. 

 Thanks: 
 v.martyanov
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.