RackCrypt Ransomware
MVP Locker Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.3 BTC, чтобы вернуть файлы. Оригинальное название: MVP Locker. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение: .rack
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: rackinfo.txt
Содержание записки rackinfo.txt:
Your PC was infected with MVP Locker which encrypts all your personal files: music, video, images and so on. Now to get everything back you have to pay. You can clean your PC from this program, however in case you want to get all your data back we do not recommend do that since we will verify the existence of files, and if you tried to eliminate this program you have no chances to get encrypted data back even in case you did a payment.
The payment proceed in bitcoin currency, We won't provide you with the informatation how you can create your own wallet and put money on it, everything you can find using internet. There is enough info about it.
// ==========================
There is information that you might need:
bitcoin wallet number (you should make your paymenton on this address): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
e-mail support address (use this in case you have problems you can't solve): mvplocksvc@yahoo.com
Перевод записки на русский язык:
Ваш ПК был заражен MVP Locker, который шифрует все ваши личные файлы: музыку, видео, изображения и т.д. Теперь, чтобы получить все обратно, вы должны заплатить. Вы можете очистить свой компьютер от этой программы, однако, если вы хотите вернуть все свои данные, мы не рекомендуем это делать, так как мы проверим наличие файлов, и если вы попытаетесь устранить эту программу, у вас не будет шансов вернуть зашифрованные данные даже в случае, если вы заплатили.
Оплата производится в биткоин-валюте. Мы не предоставим вам информацию о том, как вы можете создать свой собственный кошелек и положить на него деньги, все, что вы можете найти с помощью Интернета. Об этом достаточно информации.
// ==============================
Есть информация, которая вам понадобится:
биткойн-кошелек (вы должны заплатить на этот адрес): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
email-адрес поддержки (используйте это, если у вас проблемы, которые не можете решить): mvplocksvc@yahoo.com
Запиской с требованием выкупа выступает экран блокировки с кнопками.
При нажатии на кнопку "files" открывается файл rackfiles.txt со списком зашифрованных файлов.
При нажатии на кнопку "info" открывается записка о выкупе rackinfo.txt.
При нажатии на кнопку "copy" адрес биткоин-кошелька, указанный в сообщении, помещается в буфер обмена.
При нажатии на кнопку "decrypt" открывается следующее сообщение.
По данным Microsoft ещё должно быть изображение rack.jpg, встающее обоями Рабочего стола.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .ank, .apk, .arch00, .arw, .asset, .avi , .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db0, .dba, .dbf , .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .et, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hpp, .hvpl, .ib, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wall, .wb2 .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (197 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
rackinfo.txt - запсик ао выкупе
rackfiles.txt - содержит список зашифрованных файлов
rack.jpg - изображение, заменяющее обои
firefox.exe
loader.exe
smss.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\<exe_ransom>.exe
%TEMP%\rackfiles.txt
%TEMP%\rackinfo.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: mvplocksvc@yahoo.com
BTC: 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as RackCrypt) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.