среда, 2 ноября 2016 г.

Encryptss77, SFX Monster

Encryptss77 Ransomware 

SFX Monster Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и помещает их в самораспаковывающийся (SFX) архив с помощью файла WinRar и специального пароля, а затем требует выкуп, чтобы вернуть файлы. 

Названия получил от email вымогателей и из-за возможностей используемого ПО WinRar по созданию SFX-архива с паролем. Несколько антивирусных движков на VT выдали в графе "Результат" слово InstallMonster на созданный вредоносом файл SFX-архива.

© Генеалогия: неизвестна

К зашифрованным с помощью WinRar файлам добавляется расширение .exe, которое даётся всем SFX-файлам.

Из файлов получаются такие портянки
encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.30cr0ptss77@gmail.com.00cr1ptss77@gma4l.co1.91cr6pt0477@g1531Cv8.exe 

encryptss77_gmail.com.e0cryptss77_gmail.com.e0cr2ptss77_gmail.com.10cr0ptss77_gmail.com.70cr1ptss77_gma0l.co0.31cr6pt2377_g623Check2016.exe


Активность этого криптовымогателя пришлась на июнь-август 2016 г. Ориентирован на русскоязычных пользователей.

Записки с требованием выкупа называются: 
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ЧТОБЫ ИХ РАСШИФРОВАТЬ
НАПИШИТЕ НАМ НА encryptss77@gmail.com
В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
НА КОТОРОМ УВИДЕЛИ ЭТО СООБЩЕНИЕ
ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ

Перевод на английский язык:
YOUR FILES ARE ENCRYPTED
THAT THEIR DECRYPT
SEND EMAIL US AT encryptss77@gmail.com
IN MESSAGE INDICATE IP ADDRESS OF COMPUTER
WHERE YOU SAW THIS MESSAGE
YOU CAN FIND IT ON 2IP.RU
WE WILL REPLY TO YOU WITHIN 24 HOURS

Несколько пострадавших сообщили о взломе сервера по протоколу RDP и далее по локальной сети. По большей части атака ориентирована на повреждение баз 1С-Бухгалтерии и всего документооборота компании или учреждения, в том числе страдают подключенные облачные диски (Яндекс-диск и пр.) и неотображаемые сетевые ресурсы. 

После такой атаки НЕОБХОДИМО поменять ВСЕ пароли. Облачные диски необходимо пересоздать и удалить с жёсткого диска использованные папки, автоматически передающие файлы в этот облачный диск. Вообще технология автоматической онлайн-передачи файлов ошибочна и только наруку шифровальщикам. 

Может также распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов с использованием методов социальной инженерии. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe.

Список файловых расширений, подвергающихся шифрованию и архивированию:
 .111, .1cd, .1cl,.7z, .aga, .backup, .bak, .bas, .bkf, .bkp, .bpl, .cab, .cdr, .cdx, .cer, .cf, .cf, .cfg, .clme1, .config, .crt, .cs, .csv, .cub, .dat, .db, .dbf, .dd, .df7, .djvu, .doc, .docx, .dt, .efd, .eml, .epf, .erf, .ert, .fbk, .fdb, .fit, .fpt, .gbk, .gdb, .hbi, .hfld, .html, .idx, .ifo, .jpeg, .jpg, .jrxml, .key, .kwm, .lck, .ldf, .lgb, .lgd, .lgf, .lst, .md, .mdb, .mdf, .mir, .mira, .mkb, .mlg, .mp3, .mp4, .mst, .mxl, .nd, .ndf, .nup, .ods, .odt, .ord, .p12, .pck, .pdf, .pf, .pfx, .php, .png, .ppt, .pptx, .prm, .psd, .pwm, .rar, .raw, .rcd, .resx, .rpl, .rtf, .scx, .sec, .sldprt, .sql, .srx, .st, .tar, .tar, .tcb, .tgr, .tib, .tif, .tip, .trn, .txt, .ubs, .udb, .umpts, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vob, .xfld, .xls, .xlsx, .xml, .xsd, .xtbl, .zbk, .zip, .zs2, .ztp (129 расширений).

Файлы, связанные с Encryptss77 Ransomware:
C:\Users\User\AppData\Roaming\System.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe

Записи реестра, связанные с Encryptss77 Ransomware:
***
Сетевые подключения:
***

Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 *
 *
 *
 Thanks: 
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *