суббота, 30 июля 2016 г.

R980

R980 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-4096, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название происходит от названия папки с проектом R980. 

 К зашифрованным файлам добавляется расширение .crypt

 Записки с требованием выкупа называются: DECRYPTION INSTRUCTIONS.txt и rtext.txt 

В качестве обоев рабочего стола встает следующий файл:

 Содержание записки о выкупе: 
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server. An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK:
To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
***ссылка на https://www.mailinator.com/***
Please wait up to 24 hours for your decrypter to arrive.

 Перевод записки на русский язык: 
!!!! ВНИМАНИЕ !!!! Ваши файлы зашифрованы! !!!!
ВСЕ ваши документы, фото, базы данных и другие важные файлы были зашифрованы с помощью AES-256 и RSA4096. Вы не сможете восстановить файлы без секретного ключа, который сохранен на нашем сервере. Антивирус не восстановит ваши файлы. 
hxxps: //en.wikipedia.org/wiki/Advanced_Encryption_Standard
КАК ПОЛУЧИТЬ файлы обратно:
Для дешифровки файлов вы должны уплатить 0.5 биткоина (BTC).
Как сделать платеж?
1. Во-первых, вы должны купить Bitcoins (BTC). Можно легко купить Bitcoin на следующем сайте (пропустите этот шаг, если у вас уже есть биткоины).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Отправить 0.5 BTC на следующий адрес – Вы не должны отправлять точную сумму. Вы должны отправить нам по крайней мере эту сумму для подтверждения оплаты.
Bitcoin-адрес: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. После того, как вы заплатили биткоины по указанному выше адресу, мы дадим вам ссылку на декриптер, который исправит ваши файлы.
Он будет направлен на email-аккаунт, который мы создали для Вас:
***ссылка на https://www.mailinator.com/***
Пожалуйста, ждите 24 часа для прихода вашего декриптера.

 Распространяется с помощью email-спама и вредоносных вложений, а также с помощью ссылок на зараженные сайты и P2P-сетей. Для пересылки декриптера вымогатели использовали почтовый сервис mailinator.com

После завершения шифрования вредонос удаляет тома теневых копий файлов. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db,  .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx,  .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (здесь 97 расширений). 

 Файлы, связанные с R980 Ransomware: 
db.txt - данные жертвы
keys.txt - BTC-адрес
f.exe - исполняемый файл

Дополнение от TrendMicro от 10 августа
Показателями компрометации ПК могут быть также файлы:
rtext.txt – записка о выкупе;
status.z – нужен для начального запуска вымогателей;
status2.z – нужен для запуска копии вымогателя;
k.z – содержит загруженные base64 декодированные данные;
fnames.txt – содержит имена зашифрованных файлов.
Итого: R980 шифрует уже 151 тип файлов. 

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *