понедельник, 31 октября 2016 г.

RotorCrypt

RotorCrypt (RotoCrypt, Tar) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. 

© Генеалогия: Gomasom > RotorCrypt

К зашифрованным файлам добавляются расширения .c400, .c300 и email вымогателей по шаблонам
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:

Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого криптовымогателя пришлась на конец октября - ноябрь 2016 г. 

Ранняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar. Распространение Tar пришлось на вторую половину сентября - середину октября 2016. Сообщения на форуме BC

Записки с требованием выкупа называются: readme.txt или ***readme.txt

Содержание записки о выкупе (из версия Tar):
Good day
Your files were encrypted/locked
As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

Перевод записки на русский язык:
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

Email вымогателей: 
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). 

Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). 

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

Записи реестра, связанные с RotorCrypt Ransomware:
См. ниже гибридные анализы. 

Результаты анализов по версиям:

Гибридный анализ на Tar >>
Гибридный анализ для ELIZABETH >> 
Гибридный анализ для LIKBEZ >>
Гибридный анализ на GEKSOGEN >>
VirusTotal анализ на Tar >>
VirusTotal анализ для ELIZABETH >>
VirusTotal анализ для LIKBEZ >>
VirusTotal анализ на GEKSOGEN >>


Обновление от 10 ноября 2016:
Расширение по шаблону: 
!_____GEKSOGEN911@GMAIL.COM____.c300

Обновление от 2 декабря 2016:
Расширение по шаблону: 
!_____DILINGER7900@GMAIL.COM_____.GRANIT

Обновление от 26 декабря 2017:
Расширение по шаблону: 
!____hamil8642@gmail.com___.GRANIT

Обновление от 24 марта 2017:
Email: tokico767@gmail.com.adamant
Пример темы >>

Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC
  Thanks: 
  Michael Gillespie
  mike 1
  thyrex
 

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

  1. Пострадал от этого шифровальщика. Вымогатели общаются, но требуют заоблачные деньги.

    ОтветитьУдалить
    Ответы
    1. На рабочем столе у вас было много информации? Ярлыков, файлов?
      Если да, а данный шифровальщик снимает и отправляет вымогателям скриншот рабочего стола, то можно чем-то пожертвовать и сказать вымогателям, что мне нужна только такая-то папка, да и то не все файлы, так они могут снизить цену. Дешифровщика пока нет, т.к. исследователям нужен образец вредоеноса и файлы для изучения.
      Рекомендую создать тему здесь
      http://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/ .
      Можете сослаться на меня Amigo-A. Вам скажут куда загрузить файлы для исследования. Ничего сами не удаляйте.

      Удалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *