RensenWare Ransomware
Variants: Haruna, Kashima
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем, не требуя денежного выкупа, предлагает сыграть в игру TH12 (Touhou Seirensen) и достичь определённого LUNATIC-уровня, чтобы файлы дешифровались. Если жертва не достигнет этого уровня, то файлы будут утрачены. Оригинальные названия: Rensenware, rensenWare. Среда разработки: Visual Studio 2017. Разработчик: Tvple Eraser.
© Генеалогия: RensenWare > Haruna, Kashima
К зашифрованным файлам добавляется расширение .RENSENWARE
Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с условием вымогателя выступает экран блокировки.
Содержание текста с экрана:
WARNING!
Your system have been encrypted by Rensenware!
What the HELL is it?
Minamitsu "The Captain" Murasa encrypted your precious data like documents, musics, pictures, and some kinda project files. it can't be recovered without this application because they are encrypted with highly strong encryption algorithm, using random key.
How can I recover my files?
That's easy. You just play TH12 ~ Undefined Fantastic Object and score over 0.2 billion in LUNATIC level. this application will detect TH12 process and score automatically. DO NOT TRY CHEATING OR TEMRMINATE THIS APPLICATION IF YOU DON'T WANT TO BLOW UP THE ENCRYPTION KEY!
Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваша система была зашифрована Rensenware!
Что за чертовщина?
Минамицу «Капитан» Мураса зашифровал ваши ценные данные, такие как документы, музыкальные файлы, фото и некоторые проектные файлы. Они не могут быть восстановлены без этого приложения, потому что он зашифрован с помощью сверхнадёжного алгоритма шифрования с использованием случайного ключа.
Как мне восстановить свои файлы?
Это легко. Вы просто играете TH12 ~ Undefined Fantastic object и выигрываете более 0,2 миллиарда в уровне LUNATIC. это приложение автоматически обнаружит процесс TH12 и подсчитает. НЕ ПЫТАЙТЕСЬ МОШЕННИЧАТЬ ИЛИ ВЫРУБАТЬ ЭТО ЗАЯВЛЕНИЕ, ЕСЛИ ВЫ НЕ ХОТИТЕ ПОТЕРЯТЬ КЛЮЧ!
После достижения уровня "лунатиков" запускается декриптер и расшифровывает файлы.
После этого процесса выводится сообщение:
Decryption Complete!
lf there are encrypted files exists, use manual decrypter with key/IV files saved in desktop!
Перевод сообщения на русский язык:
Расшифровка завершена!
Если есть зашифрованные файлы, запустите вручную декриптер с key- и IV-файлами, сохраненными на рабочем столе!
К сожалению, это не пустая угроза от разработчика, так как ResenWare не сохраняет ключ дешифрования и не записывает в память меньшие результаты, и если жертва закроет программу и завершит процесс, то ключ дешифрования будет потерян навсегда.
Для контроля счёта крипто-вымогатель ищет процесс Th12 и в случае обнаружения считывает из него информацию, чтобы определить текущий счет и уровень игры. Если жертвой достигнут LUNATIC-уровень и набрано более 0,2 млрд очков, то крипто-вымогатель сохраняет ключ на рабочий стол и начинает процесс дешифровки.
Технические детали
Распространяется в определённых кругах, но может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.7z, .alz, .avi, .bas, .c, .cpp, .cs, .doc,
.docx, .egg, .flac, .frm, .gif, .hwp, .jpg, .js, .mkv, .mp3, .mp4, .pdf,
.png, .ppt, .pptx, .psd, .rar, .raw, .txt, .vb, .wav, .xls, .xlsx, .zip
(32 расширения).
Это могут быть документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.
Файлы, связанные с этим Ransomware:
rensenware.exe
decrypter.exe
<random>.exe
<random>.ini
Key File
IV File
rensenWare_forcer.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxxs://github.com/0x00000FF/rensenware_force
xxxxs://github.com/0x00000FF/rensenware_force/releases
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Обновление от 7 апреля 2017:
Создатель RensenWare создал инструмент, который записывает в память результаты игры, необходимые для дешифрования, чтобы можно было расшифровать файлы. Также он написал извинение. Его программа должна была быть шуткой для определённой группы людей, но что-то пошло не так.
Текст извинений от разработчика Tvple Eraser:
Embarrassing, but I decided to do what I must.
First of all, I'd like to apologize everyone for making shocked, or annoyed. Ransomeware is defenitely kind of highly-fatal malware, but I made it. I made it for joke, and just laughing with people who like Touhou Project Series. so I distributed source code except compiled binary on the web. however, at the point of the distribution, the tragedy was beginning.
Maybe It's okay if I remove the encryption/decryption logic before I distribute the source code. then rensenWare can be treated kind of joke program. but I didn't.
A number of people blamed me. It's natural. because I made accident definitely wrong.
So I pulled down the source code of the rensenWare from the Github, and made this tool. I hope this tool can help the ones who are already affected by rensenWare.
Once again, I apology to everyone. I'm really sorry.
P.S. I'm not sure this apology is enough to you. If not, then I apologize again in this Post Script. It didn't meant to be evil. I hope you understand of it.
Перевод на русский:
Стыдно, но я решил сделать то, что должен.
Прежде всего, я хочу извиниться перед всеми, кого шокировал или рассердил. Ransomeware - это определённо вредоносная программа, но я ее сделал. Я делал её ради шутки и посмеяться над теми, кто любит серию проектов Touhou. Я распространял исходный код без скомпилированного бинарника в Интернете. Но в момент раздачи началась трагедия.
Наверное, правильнее было бы, если бы я удалил логику шифрования/дешифрования до раздачи исходников. Тогда rensenWare точно был бы программой-шуткой. Но я этого не сделал.
Многие люди обвиняли меня. Это понятно. Ведь я сделал плохой поступок, что определённо неправильно.
Итак, я вытащил исходный код rensenWare из Github и сделал этот инструмент. Я надеюсь, что этот инструмент может помочь тем, кто уже подвергся воздействию rensenWare.
Еще раз, я приношу свои извинения всем. Мне очень жаль.
P.S. Я не уверен, что этого извинения для вас достаточно. Если нет, то я снова приношу свои извинения в этом пост-скрипте. Это было не со зла. Я надеюсь, вы понимаете это.
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
RensenWare Ransomware - апрель 2017
неописанные варианты между 2017 - 2022 гг.
Haruna Ransomware - март 2022
Kashima Ransomware - март 2022
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 20 февраля 2022:
Самоназвание: Haruna, HarunaWare
Расширение: .Haruna
---
Самоназвание: KashimaWare
Расширение: .KASHIMA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter
ID Ransomware (ID as RensenWare)
Write-up (added on April 7, 2017)
The apology by dev Rensenware
Thanks:
MalwareHunterTeam, Michael Gillespie
Lawrence Abrams
Andrew Ivanov (article author)
© Amigo-A (Andrew Ivanov): All blog articles.
