Raptor Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется > Raptor
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется > Raptor
Сайт "ID Ransomware" Raptor пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в конце сентября 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Были сообщения о других "рапторах", но связь не отслеживалась.
К зашифрованным файлам добавляется расширение: .dec
Записка с требованием выкупа называется: #_HOW_TO_DECRYPT_#_.TXT
Содержание записки о выкупе:
Содержание второй записки:
Перевод первой записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
#_HOW_TO_DECRYPT_#_.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php
Записка с требованием выкупа называется: #_HOW_TO_DECRYPT_#_.TXT
Содержание записки о выкупе:
################################################### # ######
############## YOUR FILES HAVE BEEN ENCRYPTED ###############
############ AND MARKED WITH .dec ##############
################################################### # ######
--
YOUR FILES ARE SAFE! ENCRYPTED ONLY :: ChaCha + AES
WE STRONGLY RECOMMEND that you DO NOT use any "Decryption Tools".
These tools can corrupt your data, making recovery IMPOSSIBLE.
We also recommend not contacting data recovery companies.
They will just contact us, buy the key and sell it to you for a higher price.
If you want to decrypt your files, you need to get the RSA private key.
--
In order to obtain the RSA private key, you need to contact us at the link below, located on the private TOR network.
Follow this link to get all the support you need and make the payment.
You just need to download and install the TOR browser (google) through the official website
Select "Chat Support"
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
If you have any problems with the TOR browser, write to us on Telegram: >> @fileraptor <<
Or to our mail: >> Raptorfiles@yahooweb.co <<
and send us your id: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
HOW to understand that we are NOT scammers?
You can contact SUPPORT for TEST decryption of ONE file!
--
After successful payment and decryption of your files, we give
you FULL instructions HOW TO IMPROVE your security system.
We are ready to answer all your questions!
--
################################################### # ######
################ LIST OF ENCRYPTED FILES ###############
---------------------------------------------------------
C:\DumpStack.log.tmp 0
E:\DumpStack.log.tmp 0
C:\360SANDBOX\360SandBox.sav 0
***
Список зашифрованных файлов очень длинный, потому размер записки может достигать десятки мегабайт и больше.
Другая записка с требованием выкупа более короткая. Предоставлена пострадавшим, но в результатах анализа не обнаружена.
Your files have been encrypted... Contact Telegram or Email!
Contact Telegram or Email!Contact Telegram or Email!
Decrypt files? Write to this mails: Raptorfiles@yahooweb.co or . Telegram @Fileraptor.
You unique ID [2000X57BA-E235-5634-6476BC********] [copy]
Перевод первой записки на русский язык:
###########################################################
############### ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ################
############ И ПОМЕЧЕНЫ .dec ###############
###########################################################
--
ВАШИ ФАЙЛЫ В БЕЗОПАСНОСТИ! ТОЛЬКО ЗАШИФРОВАНЫ :: ChaCha + AES
НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ ИСПОЛЬЗОВАТЬ никакие «инструменты расшифровки».
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Мы также рекомендуем не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
--
Чтобы получить закрытый ключ RSA, вам надо написать нам по ссылке ниже, находящейся в закрытой сети TOR.
Перейдите по этой ссылке, чтобы получить всю необходимую поддержку и произвести оплату.
Вам достаточно скачать и установить браузер TOR (google) через официальный сайт
Выберите «Поддержка в чате».
>> hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php} <<
--
Если у вас возникли проблемы с браузером TOR, напишите нам в Telegram: >> @fileraptor <<
Или на нашу почту: >> Raptorfiles@yahooweb.co <<
и отправьте нам свой идентификатор: >> {C185DDF4-E47E-D527-CF0084B78*******} <<
--
КАК понять, что мы НЕ мошенники?
Вы можете обратиться в ПОДДЕРЖКУ для ТЕСТ-расшифровки ОДНОГО файла!
--
После успешной оплаты и расшифровки ваших файлов мы дарим
Вам ПОЛНУЮ инструкция КАК УЛУЧШИТЬ вашу систему безопасности.
Мы готовы ответить на все ваши вопросы!
--
###########################################################
################ СПИСОК ЗАШИФРОВАННЫХ ФАЙЛОВ ################
---------------------------------------------------------
***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
#_HOW_TO_DECRYPT_#_.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://hqxqpcwbtiu7gbgewla2wjsipckft7ki2hleupdszpgvsqa6lpeubzqd.onion/index.php
Email: Raptorfiles@yahooweb.co
Telegram: @fileraptor
Telegram: @fileraptor
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support ***
Внимание! В некоторых случаях файлы можно расшифровать. Рекомендую обратиться за помощью к специалистам DrWeb >>
Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
