Russenger Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: неизвестно. На файле написано: 1cv8s32-n.exe
Обнаружения:
DrWeb -> Trojan.Encoder.24640
BitDefender -> Generic.Ransom.Russenger.7E62A1A1
ALYac -> Trojan.Ransom.Russenger
Malwarebytes -> Ransom.Russenger
Kaspersky -> Trojan-Ransom.Win32.Cryptor.brd
© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)
К зашифрованным файлам добавляется расширение .messenger-%random%
Этимология названия:
Исследователи просто составили два слова "Russian" + "messenger" и у них получилось Russenger. 😤
Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Инструкция по дешифровке.txt
Содержание записки о выкупе:
Вся ваша информация на этом компьютере была зашифрована.
Зашифрованные документы имеют расширение .messenger-******
Для получения инструкций по дешифровке напишите письмо на адрес:
messenger@riseup.net
В теме письма укажите ваш код для разшифровки:
***
Если вам приходит ответ, что почтовый адрес не существует:
1. Попробуйте написать нам с других емеил, mail.ru, yandex.ru;
2. Попробуйте написать через время.
Перевод записки на русский язык:
Уже сделан, хотя и с ошибками и неправильными оборотами в конце (выделены красным).
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
1cv8s32-n.exe
Инструкция по дешифровке.txt
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: messenger@riseup.net
См. ниже результаты анализов.
Результаты анализов:
Hybrid analysis >>
VirusTotal analysis >>
Intezer Analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
AMBA Family (семейство AMBA):
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 (2019) Ransomware - август 2019
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Russenger) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private