воскресенье, 3 апреля 2016 г.

BabushkaYaga

BabushkaYaga  Ransomware 

BabushkaLocker Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 5000 +/- рублей за дешифратор, чтобы вернуть файлы. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block

Шифровальщики "Баба-Яга" и "Бабушка Яга" известны с 2013 года, периодически видоизменялись или перепродавались другим вымогателям. Новая версия появилась в 2015 году, активность продолжалась с ноября 2015 по март 2016. Ориентирован на русскоязычных пользователей, что не мешает распространять его где угодно. Написан на MSIL. 

Записки с требованием выкупа называются readme!.txt и (или readMe!.txt) разбрасываются во все папки с зашифрованными файлами, в том числе и на рабочий стол. Записку дублирует скринлок, встающий обоями рабочего стола.

Содержание записки о выкупе:
Внимание! Ваши файлы зашифрованы. 
Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. 
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. 
ОБЯЗАТЕЛЬНО укажите ваш ID - 22301012rdj1 

Варианты ID: 
242015123vgb
9201619nsj2
18201617uuj1
272015124et2

Распространяется с помощью email-спама и вредоносных вложений (название документа MS Office на русском с расширениями .exe, .scr, .bat), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

При шифровании выбирается один из 10 публичных RSA-ключей, зашитых в программе. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe Delete Shadows /All /QuietDEL s.bat

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
readme!.txt или readMe!.txt
yaga.exe
s.bat
<random_name>.exe
<random_name>.scr
<random_name>.bat
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
fv13.failiem.lv (87.110.219.224:443 Латвия)
files.fm (104.25.80.116 США)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *