воскресенье, 1 января 2017 г.

OpenToYou

OpenToYou Ransomware

OpenToDecrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует связаться по email, чтобы вернуть файлы. Написан на Delphi. Название дано по логину почты: OpenToYou. Ранее назывался: OpenToDecrypt. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .-opentoyou@india.com 

Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: !!!.txt и скринлок, встающий обоями рабочего стола (файлы 1.bmp или 1.jpg). 

Содержание записки о выкупе:
Your files are encrypted!
To decrypt write on email - opentoyou@india.com
Identification key - 5E1C0884

Перевод записки на русский язык:
Твои файлы зашифрованы!
Для дешифровки пиши на email - opentoyou@india.com
Ключ идентификации - 5E1C0884

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.3ds, .3fr, .4db, .7z, .7zip, .accdb, .accdt, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpd, .mpp, .mpqge, .mrwref, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .png, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр. OpenToYou также шифрует файлы, которые не имеют своих расширений.

OpenToYou пропускает файлы, находящиеся в следующих директориях:
C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData

Разработчик шифровальщика-вымогателя допустил ошибку, вписав файл bootmgr в список пропускаемых директорий, в результате чего системынй загрузчик bootmgr шифруется, что приводит к невозможности загрузки операционной системы. 

Файлы, связанные с этим Ransomware:
!!!.txt
<random>.exe
C:\Logs\1.bmp -  файл на обои
C:\Logs\1.jpg -  файл на обои
C:\Logs\AllFilesList.ini
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
opentoyou@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптер!
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OpenToYou)
 Write-up
 Thanks: 
 Fabian Wosar (for Decrypter)
 Michael Gillespie
 Catalin Cimpanu
 *
 


Новый 2017 год начался!!!

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton