EncFileSOS Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.225
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: более ранние варианты >> EncFileSOS > MrCrTools, Rakhni Family
Обнаружения:
DrWeb -> Trojan.Encoder.225
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---
© Генеалогия: более ранние варианты >> EncFileSOS > MrCrTools, Rakhni Family
Информация для идентификации
Активность этого крипто-вымогателя была в сентябре - октябре 2013, а позже появились новые модификации. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .encfilesos@aol.com
Записка с требованием выкупа называется:
Записка с требованием выкупа называется:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT
Вероятно, должен быть еще англоязычный вариант HOW_TO_DECRYPT_YOUR_FILES.TXT, но в изученном варианте он оказался зашифрован.
Содержание записки о выкупе (вариант сентября 2013):
Все вaши файлы dос,xls,рdf,jpg бaзы дaнныx зaшифpoвaны.
Чтобы купить дешифратор напишите нам на email:
encfilesos@aol.com
В теме письма укажите ваш ID.
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, можете приложить любой файл и мы его расшифруем (базы данных для теста не расшифровываем!)
ID:F05DB***
---------------------------------------------------------------------------------
Все вaши файлы и бaзы дaнныx зaшифpoвaны.
Расшифровка платная.
Чтобы купить дешифратор свяжитесь с нами по email:
encfilesos@aol.com
В теме письма укажите ваш ID (ID05EF2***)
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)
--------------------------------------------------------------------
ID:05EF2***
--------------------------------------------------------------------
Все вaши файлы и бaзы дaнныx зaшифpoвaны.
Расшифровка платная.
Чтобы купить дешифратор свяжитесь с нами по email:
encfilesos@aol.com
В теме письма укажите ваш ID (ID05EF2***)
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)
--------------------------------------------------------------------
ID:05EF2***
--------------------------------------------------------------------
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Может распространяться с помощью email-спама и вредоносных вложений. (это может быть номер какого-то заказа, например "Заказ №320123543", имитация письма из банка, например о задолженности), обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов.
В момент открытия вложенного файла, содержащего известный эксплоит к CVE2012-0158, вредоносный файл проникает на компьютер жертвы, используя уязвимость Microsoft Office. После начала действия вируса файлы Excel, Word, фото, архивы, базы данных 1С, аудио-файлы будут зашифрованы.
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT - название файла с требованием выкупа на русском языке;
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT - название файла с требованием выкупа на русском языке;
HOW_TO_DECRYPT_YOUR_FILES.TXT - название файла с требованием выкупа на английском языке;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: encfilesos@aol.com
BTC: -
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: encfilesos@aol.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message ID Ransomware (ID as ***) Topic of Support, Topic of Support DrWeb расшифровали множество файлов после Trojan.Encoder.225.
Thanks: v.martyanov Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.