воскресенье, 1 января 2017 г.

OpenToYou

OpenToYou Ransomware

OpenToDecrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует связаться по email, чтобы вернуть файлы. Написан на Delphi. Название дано по логину почты: OpenToYou. Ранее назывался: OpenToDecrypt. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .-opentoyou@india.com 

Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: !!!.txt и скринлок, встающий обоями рабочего стола (файлы 1.bmp или 1.jpg). 

Содержание записки о выкупе:
Your files are encrypted!
To decrypt write on email - opentoyou@india.com
Identification key - 5E1C0884

Перевод записки на русский язык:
Твои файлы зашифрованы!
Для дешифровки пиши на email - opentoyou@india.com
Ключ идентификации - 5E1C0884

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.3ds, .3fr, .4db, .7z, .7zip, .accdb, .accdt, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpd, .mpp, .mpqge, .mrwref, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .png, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр. OpenToYou также шифрует файлы, которые не имеют своих расширений.

OpenToYou пропускает файлы, находящиеся в следующих директориях:
C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData

Разработчик шифровальщика-вымогателя допустил ошибку, вписав файл bootmgr в список пропускаемых директорий, в результате чего системынй загрузчик bootmgr шифруется, что приводит к невозможности загрузки операционной системы. 

Файлы, связанные с этим Ransomware:
!!!.txt
<random>.exe
C:\Logs\1.bmp -  файл на обои
C:\Logs\1.jpg -  файл на обои
C:\Logs\AllFilesList.ini
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
opentoyou@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптер!
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OpenToYou)
 Write-up
 Thanks: 
 Fabian Wosar (for Decrypter)
 Michael Gillespie
 Catalin Cimpanu
 *
 


Новый 2017 год начался!!!

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *