Если вы не видите здесь изображений, то используйте VPN.

вторник, 1 ноября 2016 г.

WinRarer

WinRarer Ransomware 

(шифровальщик-вымогатель, rar-вымогатель)


   Этот вымогатель помещает данные пользователей в специальный архив YourFilesHere-0penWithWinrar.ace с помощью файла WinRar и пароля, а затем требует выкуп, чтобы вернуть файлы. 

Название получил от из-за использования возможностей ПО WinRar. На добавляемых на Рабочий стол обоях написано WINRARER.

 Таким образом файлы оказываются зашифрованными с использованием возможностей архиватора WinRar, когда помещенные в архив под паролем файлы становятся зашифрованы (см. справку WinRar). 

Обнаружения:
DrWeb - > Trojan.MulDrop7.22019
BitDefender -> Trojan.GenericKD.3618907
Microsoft -> Trojan:Win32/Dynamer!ac

© Генеалогия: предыдущие zip-rar-вымогатели > WinRarer

Примечательно, что расширение у такого архивного файла .ace, а не rar, zip или exe. 

Активность этого вымогателя пришлась на конец октября - начало ноября 2016 г. Согласно некоторым данным активность также была в мае-июне 2016. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются: 
RECOVERYOURFILES.HTM - записка  в виде веб-файла;
RecoverYourFiles.jpg - скринлок, встающий обоями.

Содержание записки о выкупе:
Attention : YOUR FILES were LOCKED
What happened ?
Your important files were LOCKED with Winrar so its now unusable and unreadable,
The only way to get your files back is to pay us.
Otherwise, your files will be useless
How can I get my files back?
The only way to restore them to a normal condition is to use our site to decrypt your key to get the password follow the flowing steps to enter our site :
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Go to this site ( paste it in the url address ) : pgzhzhje5v7dzrcr.onion
4. Copy your id from the bottom of the page to paste in the site.
your id is : *****************
done

Перевод на русский язык:
Внимание: Ваши файлы блокированы
Что случилось?
Ваши важные файлы блокированы с Winrar потому теперь непригодны и нечитаемы,
Есть один способ, чтобы получить ваши файлы обратно это заплатить нам.
В противном случае ваши файлы будут бесполезны
Как я могу вернуть мои файлы?
Только один способ вернуть их в нормальное состояние, это на нашем сайте получить ключ дешифровки и пароль, надо проделать шаги для входа на наш сайт:
1. Скачать и установить tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запуститm браузер и ждать инициализацию.
3. Перейти на этот сайт (вставьте его в URL адрес): pgzhzhje5v7dzrcr.onion
4. Скопировать id из нижней части страницы, чтобы вставить на сайте.
Ваш id: *****************
готово


Содержание текста со скринлока:
WINRARER
YOUR FILES LOCKED
WITH WINRAR
WHAT HAPPENED ?
YOUR IMPORTANT FILES WERE LOCKED WITH WINRAR
SO ITS NOW UNUSABLE AND UNREADABLE.
THE ONLY WAY TO GET YOUR FILES BACK IS TO PAY US.
OTHERWISE, YOUR FILES WILL BE LOST.
HOW CAN I GET MY FILES BACK?
THE ONLY WAY TO RESTORE THEM TO A NORMAL CONDITION IS TO USE OUR
SITE TO DECRYPT YOUR KEY TO GET THE PASSWORD
FOLLOW THE FLOWING STEPS TO ENTER OUR SITE:
1. DOWNLOAD AND INSTALL TOR-BROWSER: HTTP://WWW.TORPROJECT.ORG
2. AFTER A SUCCESSFUL INSTALLATION, RUN THE BROWSER AND WAIT FOR INITIALIZATION.
3. GO TO THIS SITE USING TOR BROWSER ONLY: PGZHZHJE5V7DZRCR.ONION
4. COPY YOUR ID FROM RECOVERYOURFILES.HTM FILE AND PASTE IT IN THE SITE
IF YOU ARE LOOKING FOR A JOB ENTER THE SITE AND GET YOUR OWN LOCKER

Перевод текста на русский язык:
WINRARER
Ваши файлы заблокированы
С помощью WinRAR
Что случилось?
Ваши важные файлы были заблокированы с помощью WinRAR
Потому они теперь непригодны для использования и нечитаемы.
Только один способ вернуть ваши файлы — это заплатить нам.
Иначе ваши файлы будут потеряны.
Как я могу получить мои файлы обратно?
Только один восстановить их в нормальное состояние — использовать наш сайт для получения вашего ключа дешифровки и пароля
Выполните плавные шаги, чтобы войти в наш сайт:
1. Скачайте и установите Tor-браузер: http://www.torproject.org
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Перейдите на этот сайт, используя только Tor-браузер: pgzhzhje5v7dzrcr.onion
4. Скопируйте ваш ID из файла RECOVERYOURFILES.HTM и вставьте его на сайте
Если вы ищете работу, зайдите на сайт и получить свой собственный Локер.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe. 

Список файлов и папок, подвергающихся шифрованию и архивированию:
Все файлы и папки, находящиеся в корне каждого диска. 

Файлы, связанные с WinRarer Ransomware:
YourFilesHere-0penWithWinrar.ace
Runners.exe
RECOVERYOURFILES.HTM
RecoverYourFiles.jpg
RecoverYourFiles3.jpg
RecoverYourFiles4.htm
RecoverYourFiles3.rtf
RecoverYourFiles.bmp
C:\YOUR-locked-FILES\

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2 декабря 2019:
Фактически то же самое, но ранее у меня не было образца и некоторых файлов. 
Поcт в Твиттере >>
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 ID Ransomware
 Topic on Kaldata
 *
 Thanks: 
 Michael Gillespie, Thyrex, icotonev
 Andrew Ivanov (author)
 CyberSecurity GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *