воскресенье, 12 февраля 2017 г.

RoshaLock

All_Your_Documents Ransomware

RoshaLock 2.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует и архивирует все данные пользователей, и помещает их в специальный архив All_Your_Documents.rar. На сайте оплаты выкупа указана сумма выкупа 0,35 биткоина. Каждые три дня, после первого визита жертвы на этот сайт, сумма будет возрастать на 0,05 биткоина. Сумма выкупа нефиксированная, потом может отличаться на разных ПК. Оригинальное название появилось только во второй версии: RoshaLock 2.0. 

© Генеалогия: All_Your_Documents > RoshaLock 2.0.

К зашифрованным файлам специальное расширение НЕ добавляется.
Отдельно файлы не шифруются, но де-факто файлы оказываются зашифрованными с использованием возможностей архиватора WinRar, когда помещенные в архив под паролем файлы становятся зашифрованы с помощью алгоритма AES-256 (см. справку WinRar). Ключ шифрования затем шифруется с помощью RSA-2048. 
Для сравнения см. мои статьи: WinRarer RansomwareEncryptss77 Ransomware7zipper Ransomware.

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В заголовке текст написан на 5 языках. 

Записки с требованием выкупа называются: All Your Files in Archive!.txt

Содержание записки о выкупе:
ATTENTION! AUFMERKSAMKEIT! ATTENTION! ATENCION! ATTENZIONE!
TO GET BACK YOUR FILES READ CAREFULLY!
UM IHRE DATEIEN ZURUCK, BITTE SORGFALTIG LESEN!
POUR RECUPERER VOS FICHIERS, S'lL VOUS PLAIT LIRE ATTENTIVEMENT!
PARA OBTENER LOS ARCHIVOS DE NUEVO, POR FAVOR, LEA CON CUIDADOM
PER OTTENERE IL VOSTRO FILES INDIETRO, SI PREGA DI LEGGERE ATTENTAMENTE!!
###
Where did all your files?
Your documents on all drives (photos, videos, docs, etc.)
have been moved to password - protected WinRAR archives.
This archives is located in the root of each disk, in folder
"All_Your_Documents" and file name is "All_Your_Documents.rar".
Full path on all drives:
Drive:\\All_Your_Documents\All_Your_Documents.rar
To open .rar archive, you need to install WinRAR.
To open .rar archive, CAREFULLY follow these steps:
1) If you do not have WinRAR archiver - download and install it:
Link: xxxx://www.rarlab.com/rar/wrar540.exe
Note: you will need WinRAR version 5.00 or higher.
Now you can view the contents of the .rar archive,
but to extract the files you will need the password.
2) To get the password of RAR archive, download and install TOR browser:
3) Open TOR browser, and put this address in browser address bar:
Link: xxxx://klbibglrxtdpmr7i.onion/user/
Note: link can only be opened in a TOR browser. Opening page can
take a long time. Please try again in a few minutes in case of error,
close and open your TOR browser and try again.
4) Copy and paste text located below into text-box on this page and click button.
<RSA2048>***</RSA2048>
###

Перевод записки на русский язык:
Внимание! [+ та же фраза на других языках]
Для возврата ваших файлов прочитайте внимательно
Где же все ваши файлы?
Ваши документы на всех дисках (фото, видео, документы и т.д.)
были перемещены в защищенные паролем архивы WinRAR.
Этот архив находится в корне каждого диска, в папке с именем "All_Your_Documents" и файл "All_Your_Documents.rar".
Полный путь на всех дисках:
Имя_диска:\\All_Your_Documents\All_Your_Documents.rar
Чтобы открыть архив .rar, вам нужно установить WinRAR.
Чтобы открыть архив .rar, ВНИМАТЕЛЬНО выполните следующие действия:
1) Если у вас нет архиватора WinRAR - скачайте и установите его:
Ссылка: xxxx://www.rarlab.com/rar/wrar540.exe
Примечание: Вы будете нуждаться в WinRAR версии 5.00 или выше.
Теперь вы можете просмотреть содержимое архива .rar,
но для извлечения файлов вам потребуется пароль.
2) Для того, чтобы получить пароль RAR архива, скачайте и установите TOR-браузер:
3) Откройте TOR-браузер и вставить этот адрес в адресной строке браузера:
Ссылка: xxxx://klbibglrxtdpmr7i.onion/user/
Примечание: ссылка может быть открыта только в TOR-браузере. Загрузка страницы может занять долгое время. Повторите попытку через несколько минут в случае ошибки, закройте и откройте TOR-браузер и повторите попытку.
4) Копируйте текст, который находится ниже в текстовом поле, вставьте на этой странице и нажмите кнопку.
<RSA2048>***</RSA2048>
###

Скриншоты страниц сайта оплаты выкупа:


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, скриптов и эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После атаки удаляются все теневые копии файлов, чтобы затруднить восстановление заблокированных файлов из сохранённых копий. 

Этим вымогателем используются возможности Windows Script Host (WSH), который позволяет исполнять скрипты на языках VBScript и JScript.  

Список файловых расширений, подвергающихся архивации и шифрованию:
.$er, ._eml, .000, .001, .002, .113, .123c, .123d, .123dx, .1ph, .2d, .2mg, .360, .3d, .3d2, .3d4, .3da, .3dc, .3df, .3dl, .3dm, .3dmf, .3dmk, .3don, .3dp, .3dr, .3ds, .3dt, .3dv, .3dw, .3dx, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3gpp, .3gpp2, .3mm, .3p2, .4db, .4dd, .4dv, .4mp, .4th, .4ui, .60d, .6cm, .73b, .787, .7z, .7z.001, .7z.002, .8cm, .8pbs, .8svx, .8xi, .9.png, .a00, .a01, .a02, .a2c, .a2m, .a3w, .a4m, .a4p, .a4w, .a52, .a5rpt, .a5w, .a65, .aa, .aa3, .aac, .aam, .aao, .aax, .ab3, .abcd, .abdata, .abf, .abk, .abm, .abw, .abx, .aby, .ac3, .ac5, .ac6, .accdb, .accde, .accdr, .acd-zip, .ace, .acm, .acp, .acr, .act, .adc, .adcp, .ade, .adf, .adp, .adts, .adz, .aep, .aepx, .aes, .aet, .aetx, .af2, .af3, .afc, .afd, .aff, .afp, .afs, .aft, .afx, .agd, .aggr, .agi, .agp, .ai, .aic, .aif, .aifb, .aifc, .aiff, .aim, .aimppl, .ain, .ais, .aiv, .ajp, .akp, .al, .alac, .alaw, .albm, .all, .alp, .als, .alz, .am4, .am5, .am6, .am7, .amc, .amf, .amr, .ams, .amu, .amv, .amx, .amz, .an, .an8, .anh, .anim, .anm, .anme, .ans, .aob, .aof, .ap, .apd, .ape, .aph, .apm, .apng, .aps, .apt, .apx, .apz, .arc, .ard, .arff, .arh, .ari, .aria, .ariax, .arj, .ark, .aro, .arr, .arsc, .art, .artproj, .artwork, .arw, .as, .as2proj, .as3proj, .as4, .asat, .asc, .ascii, .ascs, .asd, .ase, .ashprj, .ashx, .asm, .asnd, .asp, .aspx, .asw, .at3, .ate, .ati, .atl, .atm, .atr, .atrac, .au, .au3, .aud, .aup, .aut, .ava, .avchd, .avhd, .avi, .avp, .awb, .awd, .awdb, .awm, .aww, .axx, .ay, .azf, .azs, .azw, .azw1, .azw3, .azw4, .azz, .b1, .b2a, .b3d, .b4s, .b5i, .b64, .b6i, .ba, .bac, .bak, .bak~, .bak2, .bak3, .bakx, .band, .bap, .bas, .bay, .bb, .bbc, .bbcd, .bcf, .bci, .bck, .bcl, .bcm, .bdb, .bdf, .bean, .bet, .bfa, .bfc, .bfx, .bgt, .bh, .bho, .bhx, .bib, .bidule, .bik, .bim, .bix, .bk1, .bkc, .bkf, .bkk, .bkp, .bks, .bld, .blend, .blend1, .blend2, .blkrt, .bluej, .blz, .bm2, .bmc, .bmf, .bmz, .bna, .bnp, .boc, .bok, .bonk, .boo, .book, .box, .bp3, .bpa, .bpb, .bpd, .bpdx, .bpf, .bpg, .bpk, .bpm, .bpn, .bpnueb, .bpr, .bps, .bpw, .br3, .br4, .br5, .br6, .br7, .brain, .brd, .brf, .brk, .brl, .brn, .bro, .brw, .bs2, .bs4, .bsd, .bsdl, .bsf, .bsk, .btd, .btf, .btif, .btoa, .bup, .bur, .bvd, .bvp, .bwf, .bwg, .bwi, .bws, .bwt, .bww, .bz, .bz2, .bza, .bzabw, .bzip, .bzip2, .c, .c00, .c01, .c02, .c10, .c2d, .c3d, .c3z, .c4, .c4d, .caf, .caff, .cal, .cals, .cam, .camm, .camproj, .camrec, .camv, .can, .cap, .caproj, .capx, .car, .cawr, .cbl, .cbp, .cbr, .cbu, .cbz, .cc, .cca, .ccb, .ccd, .ccf, .cch, .ccr, .ccs, .cct, .cd, .cd2, .cd5, .cdb, .cdd, .cdda, .cddx, .cdf, .cdg, .cdi, .cdm, .cdmm, .cdmt, .cdmtz, .cdmz, .cdo, .cdpx, .cdpz, .cdr, .cdt, .cdw, .cdz, .ce, .ceb, .cedprj, .cef, .cel, .celtx, .cf2, .cfa, .cff, .cfs, .cg, .cg3, .cga, .cgm, .cgp, .ch3, .chef, .chg, .chml, .chn, .cib, .cif, .cil, .cimg, .cin, .cit, .ck9, .ckd, .ckf, .ckp, .ckt, .cl2, .cl2arc, .cl2doc, .cl2lyt, .cl2tpl, .cl4, .cl5, .class, .clb, .clg, .clk, .cls, .clx, .cm10, .cmap, .cmbl, .cmf, .cmmp, .cmod, .cmx, .cmz, .cna, .cnd, .cng, .cnm, .cnv, .cob, .colz, .cov, .cp9, .cpb, .cpc, .cpd, .cpe, .cpf, .cpg, .cph, .cpio, .cpk, .cpmz, .cpp, .cpr, .cps, .cpt, .cptx, .cpx, .cpy, .cr2, .crd, .crds, .crev, .crt, .crtr, .crtx, .crw, .crypted, .cryptra, .crz, .cs, .csa, .csd, .csf, .csh, .csi, .cso, .csp, .csproj, .csr, .csx, .ct, .ctm, .cts, .ctv, .ctv3, .cu, .cub, .cut, .cv5, .cvc, .cvg, .cvi, .cvs, .cvw, .cvx, .cwb, .cwk, .cwp, .cwt, .cwz, .cx3, .cxd, .cxf, .cxp, .cxt, .cxx, .cyp, .cys, .czd, .czi, .czip, .czp, .d00, .d01, .d2v, .d3d, .d3v, .d64, .da2, .daa, .daf, .dal, .dam, .dao, .dash, .dav, .dax, .daz, .db, .db1, .db3, .dba, .dbc, .dbd, .dbf, .dbk, .dbo, .dbpro, .dbproj, .dbr, .dbs, .dbt, .dbv, .dbx, .dc, .dc2, .dc3, .dc4, .dca, .dcb, .dcd, .dce, .dcf, .dcm, .dco, .dcpf, .dct, .dcx, .dd, .ddl, .ddrw, .dds, .ddt, .ded, .deproj, .des, .design, .det, .dev, .dex, .df1, .df2, .dfc, .dff, .dfg, .dfk, .dfproj, .dfs, .dft, .dfx, .dgb, .dgc, .dgk, .dgn, .dgs, .dib, .dicom, .dif, .dig, .dim, .dime, .dis, .divx, .djr, .djv, .djvu, .dke, .dls, .dlv, .dlx, .dm, .dm3, .dmb, .dmf, .dmo, .dmr, .dms, .dmsa, .dmsd, .dmsd3d, .dmse, .dmsm, .dmsm3d, .dmsp, .dmss, .dmx, .dna, .dnc, .dne, .dng, .dnl, .dob, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dov, .dp1, .dpb, .dpd, .dpp, .dpr, .dproj, .dra, .drf, .drg, .drmx, .drw, .drz, .ds2, .dsa, .dsd, .dse, .dsf, .dsg, .dsgm, .dsi, .dsk, .dsm, .dso, .dsp, .dss, .dsx, .dsy, .dta, .dtp, .dtr, .dts, .dtshd, .dtx, .dv, .dv4, .dv-avi, .dvdproj, .dvds, .dvf, .dvg, .dvo, .dvr, .dvr-ms, .dvx, .dw, .dwa, .dwd, .dwf, .dwfx, .dwg, .dwp, .dwz, .dx, .dxb, .dxf, .dxg, .dxr, .dz, .e01, .e4a, .e57, .eap, .ear, .ebk, .ecm, .ecp, .ecs, .eda, .edat2, .edb, .ede, .edf, .edfx, .edg, .edge, .edk, .edn, .edq, .edrwx, .eds, .edv, .efa, .efe, .efk, .efl, .efq, .efr, .efs, .efu, .efv, .efx, .egc, .egg, .egp, .eio, .eip, .ekb, .el, .email, .emc, .eml, .emlx, .enc, .enex, .ep, .epf, .epi, .epp, .eps, .epsf, .epub, .eql, .er1, .erf, .erl, .es2, .esb, .esf, .eui, .evo, .evr, .evy, .ewb, .ewd, .ex, .exb, .exl, .exm, .exp, .exr, .exw, .eye, .ezp, .f04, .f06, .f32, .f3d, .f4a, .f4p, .f4v, .f64, .f90, .fac, .face, .facefx, .fasta, .fax, .fb2, .fbc, .fbf, .fbk, .fbm, .fbp, .fbp7, .fbr, .fbw, .fbz, .fbz7, .fcd, .fcf, .fcgi, .fcstd, .fcw, .fdd, .fdi, .fdp, .fdr, .fds, .fdx, .fft, .fg, .fgl, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fh9, .fhd, .fhf, .fif, .fig, .fimpp, .fits, .fla, .flac, .flame, .flb, .flka, .flkb, .flo, .flow, .flp, .flr, .flt, .flv, .flx, .fm, .fmpsl, .fmv, .fmz, .fnbk, .fnc, .fodp, .fods, .fodt, .fop, .forth, .fox, .fp3, .fp8, .fpa, .fpenc, .fpf, .fpj, .fpos, .fpp, .fpx, .frg, .frj, .frm, .fro, .frx, .fry, .fs, .fsif, .fsm, .fsproj, .fsq, .fsx, .ft10, .ft11, .ft7, .ft8, .ft9, .ftl, .ftm, .ftmb, .ftn, .ftw, .fwdn, .fx, .fxa, .fxcproj, .fxl, .fxm, .fxml, .fxs, .fz, .fza, .fzf, .fzp, .fzz, .g3, .g721, .g723, .g726, .gal, .gan, .gb1, .gb2, .gbap, .gbas, .gbi, .gbk, .gbs, .gca, .gcd, .gcdp, .gcw, .gcx, .gdf, .gdrive, .gds, .ged, .gem, .gen, .geo, .gexf, .gfar, .gfb, .gfe, .gfp, .gho, .ghs, .gi, .gig, .gih, .gkh, .gl, .gla, .glade, .glb, .gld, .glox, .gls, .gm, .gm6, .gm81, .gmd, .gmk, .gmspr, .gmx, .gmz, .gno, .gom, .gp3, .gp5, .gpd, .gpf, .gpg, .gpj, .gpp, .gpr, .gra, .grade, .grasp, .grf, .grn, .gro, .grob, .groove, .groovy, .grr, .gry, .gs3, .gsd, .gsm, .gsproj, .gszip, .gtar, .gtp, .gts, .gvi, .gvy, .gwp, .gxd, .gxk, .gz, .gz2, .gza, .gzip, .h, .h0, .h11, .h12, .h264, .ha, .hal, .haml, .has, .hbc, .hbc2, .hbe, .hbk, .hbx, .hcc, .hce, .hci, .hcp, .hcr, .hcx, .hdmov, .hdp, .hdr, .hdv, .hex, .hf, .hfs, .hfv, .hh, .hip, .hipnc, .hki, .hki1, .hki2, .hki3, .hkm, .hlsl, .hma, .hmi, .hmk, .hmxp, .hpd, .hpi, .hpk, .hpl, .hpp, .hqx, .hr, .hrf, .hrl, .hs, .hsf, .html0, .htmlz, .htxt, .htz4, .htz5, .hwp, .hxn, .hxx, .hyp, .hz, .i00, .i01, .i02, .iba, .ibb, .ibcd, .ibq, .ic1, .ic3, .ic3d, .ica, .icap, .icb, .ice, .icml, .icmt, .icpr, .ics, .idap, .idea, .idml, .idms, .idpk, .idw, .if, .ifc, .ifczip, .iff, .iges, .igs, .igx, .iiq, .ilbm, .ildoc, .ima, .imd, .imf, .img, .imj, .imz, .incd, .inct, .incx, .ind, .indb, .indd, .inds, .ink, .inl, .inm, .ino, .int, .ipd, .ipf, .ipj, .ipk, .ipn, .ipt, .ipx, .ircp, .irf, .irock, .irp, .irx, .ish, .ish2, .ish3, .isma, .ismv, .iso, .isoz, .isz, .iv, .iv2i, .iva, .ive, .ivf, .ivr, .iw, .iwxdata, .iwz, .ix2, .ixa, .ixb, .ize, .izz, .izzy, .j, .j2c, .j2k, .j3o, .jac, .jam, .jar.pack, .jas, .jav, .java, .jb2, .jbc, .jbig, .jbig2, .jbk, .jbmp, .jclic, .jcp, .jed, .jfif, .jfsl, .jic, .jif, .jiff, .jis, .jng, .jo, .jo-7z, .job, .joe, .jp1, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpg2, .jpr, .jps, .jpx, .jrtf, .jsd, .jsda, .jsfl, .jt, .jtf, .jts, .jtv, .jtx, .jude, .jvsg, .jwl, .jxr, .k25, .k26, .k3g, .kar, .kb2, .kdbx, .kdc, .kde, .kdk, .key, .kfn, .kfx, .kgb, .kic, .kin, .kit, .kmv, .kodak, .koob, .koz, .kpf, .kpg, .kpp, .kpr, .kpx, .krz, .ktp, .ktz, .kwd, .kwm, .kyr, .kz, .layout, .lbm, .lbr, .lcb, .lcd, .lcn, .ldr, .legal, .lha, .lhs, .lid, .lisp, .lit, .ljp, .llx, .lnt, .lnx, .lp, .lp2, .lp7, .lpdb, .lpp, .lqr, .lqt, .lrc, .lrec, .lrs, .lrv, .lsp, .lsproj, .ltr, .luf, .lut, .lutx, .lvp, .lvw, .lw4, .lwd, .lwo, .lwp, .lws, .lxf, .lxo, .lxsproj, .lyc, .lyx, .lz, .lzh, .lzma, .lzo, .lzx, .m, .m12, .m15, .m1a, .m1pg, .m1v, .m21, .m2a, .m2t, .m2ts, .m2v, .m3, .m4a, .m4b, .m4e, .m4p, .m4r, .m4v, .m75, .ma, .ma1, .mag, .magik, .mani, .mars, .mart, .mat, .mav, .maw, .max, .maxc, .mb, .mbb, .mbd, .mbf, .mbk, .mbm, .mbw, .mc2, .mcd, .mcdx, .mcf, .mcp, .mcrp, .mcs, .mcsp, .mcsx, .mcxe, .md, .md0, .md1, .md2, .md8, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mdinfo, .mdl, .mdx, .mdzip, .med, .mef, .meo, .mer, .mesh, .mfa, .mfp, .mga, .mgcb, .mgf, .mgmt, .mgmx, .mgs, .mgtx, .mic, .mid, .midi, .mig, .mim, .mime, .min, .mip, .mix, .mj2, .mjp, .mjpg, .mk3d, .mka, .mkv, .mlb, .mlp, .mma, .mmat, .mme, .mmf, .mml, .mmm, .mmp, .mmpz, .mmv, .mnc, .mng, .mnk, .mny, .mo3, .mob, .mobi, .mod, .modd, .model, .mogg, .moho, .moi, .moov, .mos, .mot, .mou, .mov, .movie, .mox, .mp, .mp_, .mp1, .mp10, .mp11, .mp2, .mp21, .mp2v, .mp3, .mp4, .mp4v, .mp7, .mp9, .mpa, .mpb, .mpc, .mpdp, .mpe, .mpeg, .mpeg1, .mpeg4, .mpf, .mpg, .mpg2, .mpga, .mpi, .mpj, .mpo, .mpp, .mppz, .mpu, .mpv, .mpv2, .mpz, .mpzip, .mqo, .mqv, .mrb, .mrml, .mrw, .mrxs, .ms11, .ms3d, .ms7, .ms8, .ms9, .mscx, .msdvd, .msg, .msh, .msif, .msp, .msv, .mswmm, .mt9, .mth, .mts, .mtv, .mtx, .mtz, .muf, .muz, .mv, .mv_, .mvb, .mvd, .mve, .mvex, .mvp, .mvy, .mwb, .mws, .mwx, .mx, .mx3, .mx4, .mx5, .mxf, .mxs, .mxv, .myd, .myl, .mys, .mzp, .na2, .nap, .nb, .nb7, .nba, .nbak, .nbc, .nbd, .nbf, .nbp, .nbs, .nbu, .nc, .ncd, .nco, .ncor, .ncorx, .ncr, .nct, .nef, .neko, .neo, .neu, .nfb, .nfc, .nff, .nfi, .ngc, .ngd, .nim, .njx, .nmp, .nmsv, .nni, .nnp, .npf, .npp, .npr, .nps, .nqc, .nrbak, .nrg, .nri, .nrt, .nrw, .nsa, .nsv, .ntf, .nut, .nuv, .nvc, .nvf, .nvram, .nwbak, .nwc, .nwctxt, .nwd, .nwf, .nxc, .nzb, .oab, .oar, .obd, .obk, .occ, .oci, .ocr, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oeb, .ofc, .off, .ofr, .oga, .ogg, .ogm, .ogv, .ogx, .old, .olk, .oma, .omf, .omg, .one, .ontx, .opd, .opf, .opj, .opus, .or3, .or4, .or5, .or6, .orf, .ori, .orig, .ort, .orv, .ot, .ota, .otb, .otg, .otl, .otrkey, .otx, .ovf, .ovl, .ovw, .oxps, .p, .p01, .p19, .p21, .p2g, .p2i, .p2z, .p3, .p3d, .p6, .p65, .p7, .p7b, .p7c, .p7m, .p7s, .pab, .pac, .pack.gz, .package, .pae, .pak, .pakm, .pano, .pap, .paq6, .paq7, .paq8, .paq8f, .par, .pas, .pat, .pax, .pbb, .pbk, .pbm, .pbproj, .pc1, .pc2, .pc3, .pc6, .pca, .pcd, .pcm, .pct, .pcv, .pcx, .pdb, .pdc, .pdd, .pder, .pdf, .pdfxml, .pdg, .pdi, .pdl, .pdm, .pdn, .pdp, .pds, .pdwr, .pe4, .pea, .pef, .pem, .pep, .pex, .pez, .pf, .pfc, .pfd, .pfi, .pfl, .pfv, .pfx, .pgd, .pgf, .pgi, .pgm, .pgp, .pgpf, .pgx, .phb, .phj, .phl, .photoshow, .php, .php3, .php4, .php5, .phtm, .phtml, .pi1, .pi2, .pi3, .pi4, .pi5, .pi6, .pic, .picnc, .pict, .pigs, .pika, .pim, .pis, .pit, .pix, .piz, .pjpeg, .pjpg, .pjx, .pkey, .pkg, .pl1, .pl2, .pla, .pln, .plproj, .plt, .ply, .pm3, .pm4, .pm5, .pm6, .pmatrix, .pmd, .pmf, .pmg, .pmlz, .pmm, .pmo, .pna, .pni, .pnm, .pnproj, .pnpt, .pnt, .pntg, .pobi, .pobj, .pod, .pop, .pov, .pp2, .pp4, .pp5, .ppc, .ppcx, .ppf, .ppj, .ppk, .ppm, .ppr, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ppz, .pqi, .prc, .prd, .prefab, .prel, .prg, .prj, .prn, .pro4, .pro4dvd, .pro5, .pro5dvd, .project, .proqc, .prproj, .prs, .prt, .prz, .psa, .psb, .psd, .psdx, .pse, .psf, .psh, .psm, .psm1, .psp, .pspd, .psr, .pss, .pssd, .pst, .psu, .psw, .psw6, .psz, .pt, .ptcop, .ptg, .ptr, .ptw, .ptx, .pub, .puz, .pva, .pvc, .pvk, .pvm, .pvr, .pwd, .pwi, .pwn, .pwp, .pwr, .pwrep, .pws, .px, .pxf, .pxi, .pxj, .pxr, .pxv, .py, .pyw, .pyx, .pz2, .pz3, .pza, .pzp, .pzs, .pzz, .q07, .q08, .q09, .q3c, .q3d, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qby, .qcow, .qcow2, .qcp, .qda, .qdb, .qdf, .qdl, .qdt, .qel, .qic, .qif, .qml, .qpb, .qpf, .qpw, .qrp, .qsd, .qt, .qti, .qtif, .qtm, .qtz, .quiz, .quox, .qvp, .qvw, .qx, .qxb, .qxd, .qxf, .qxp, .r0, .r00, .r01, .r02, .r03, .r1, .r2, .r21, .r30, .r3d, .ra, .rad, .raf, .ral, .ram, .rar, .rar5, .ras, .ratdvd, .raw, .rax, .ray, .rb, .rbc, .rbf, .rbp, .rbw, .rcd, .rcl, .rcx, .rcy, .rdb, .rdi, .rdl, .rdlx, .rds, .rdx, .rec, .record, .rev, .rex, .rfp, .rgb, .rgf, .rgmb, .rgmc, .rgo, .ric, .rif, .riff, .rix, .rk, .rle, .rli, .rm, .rmd, .rmf, .rmi, .rms, .rmuf, .rmvb, .rmx, .rnc, .rnq, .rns, .roca, .roxio, .rp9, .rpa, .rpd, .rpf, .rpmsg, .rpp, .rpprj, .rpt, .rri, .rs, .rsa, .rsb, .rsg, .rsn, .rso, .rsp, .rsv, .rta, .rte, .rtf, .rtx, .rv, .rvl, .rvt, .rvx, .rw2, .rwg, .rwl, .rx2, .rxc, .rzb, .rzk, .rzs, .rzx, .s00, .s01, .s02, .s85, .sab, .saf, .safe, .safetext, .sai, .sam, .sap, .sar, .sat, .sb, .sb2, .sbb, .sbd, .sbg, .sbk, .sbp, .sbs, .sbu, .sbw, .scad, .scg, .sci, .scm, .scn, .sco, .scp, .sct, .scu, .scv, .scw, .scx, .scz, .sd, .sd2, .sd2f, .sda, .sdb, .sdc, .sdd, .sdf, .sdg, .sdii, .sdm, .sdo, .sdoc, .sdr, .sds, .sdsk, .sdv, .sdw, .sdx, .sdz, .sec, .sedprj, .sef, .seg, .sep, .ser, .sesx, .sf, .sfc, .sfera, .sff, .sfpack, .sfs, .sfvidcap, .sfw, .sfx, .sgi, .sgml, .sgn, .sgp, .sgz, .sh3d, .sh3f, .shg, .shn, .show, .shp, .sht, .shtm, .shtml, .shw, .shy, .si, .sid, .sig, .sim, .sit, .sitx, .siv, .sk1, .sk2, .skb, .skc, .skf, .skl, .skm, .skp, .skr, .skv, .sla, .sla.gz, .slb, .sld, .slddrw, .sldprt, .slf, .slp, .sls, .slx, .sme, .smf, .smi, .smil, .smk, .sml, .smp, .sms, .smv, .smz, .sn1, .sn2, .sna, .snagproj, .snb, .snd, .sng, .snk, .sns, .sob, .sonic, .sopt, .sou, .spa, .spb, .spc, .spd, .spdf, .spe, .spf, .sph, .spi, .spiff, .spj, .spk, .spl, .spp, .spt, .spx, .sqb, .sqf, .sqlite, .sqlite2, .sqlite3, .sqx, .sqz, .sr, .sr2, .srep, .srf, .srw, .ssk, .ssnd, .ssp, .ssv, .std, .ste, .step, .stg, .stk, .stn, .sto, .stp, .stproj, .stu, .stw, .stx, .styk, .stykz, .suf, .sumo, .sun, .suniff, .sv$, .sva, .svd, .svf, .svg, .svgz, .svi, .svx, .sw, .swa, .swi, .swm, .swt, .sxd, .sxg, .sxi, .sxw, .syn, .syw, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t2ks, .t2kt, .t3001, .t3d, .t64, .taac, .tab, .tak, .tao, .tar.gz, .tar.gz2, .tar.lzma, .tar.xz, .tax08, .tax09, .tax10, .tax11, .tax12, .tax13, .taz, .tbk, .tbp, .tbz2, .tc, .tcc, .tcr, .tcw, .tcx, .td0, .tda3mt, .tdb, .tddd, .tex, .text, .tg, .tg4, .tga, .tgd, .tgo, .thl, .thm, .thp, .thx, .tib, .tif, .tiff, .tivo, .tjp, .tk3, .tl5, .tlb, .tlg, .tlh, .tli, .tlp, .tlz, .tm, .tm2, .tm8, .tmb, .tmc, .tmd, .tme, .tmv, .tn1, .tn2, .tn3, .tne, .tnef, .tny, .toast, .toc, .tod, .top, .topc, .topprj, .topviw, .tp, .tp0, .tpd, .tpi, .tpr, .tpz, .tr, .tr3, .tra, .trif, .trm, .trn, .trp, .ts, .tt10, .tt11, .tt12, .tt13, .tta, .ttbk, .ttx, .tvl, .tvs, .twb, .twbx, .txa, .txf, .txt, .txw, .tzx, .u10, .u11, .u12, .ub, .uc2, .uci, .uds, .uea, .ufo, .ufr, .uga, .uha, .uibak, .uif, .uof, .uos, .uot, .upf, .ustar, .utf8, .utxt, .uud, .uw, .uwf, .uwl, .v, .v2i, .v2m, .v3d, .v3o, .val, .vap, .vbc, .vbg, .vbk, .vbp, .vbpf1, .vbproj, .vbw, .vc1, .vc4, .vc6, .vc8, .vcd, .vce, .vcf, .vco, .vcp, .vcpf, .vcproj, .vcrd, .vcv, .vcxproj, .vda, .vdi, .vdo, .vdproj, .vdr, .vdw, .vec, .veg, .vem, .vep, .vet, .vf, .vfd, .vff, .vfw, .vhd, .vhdx, .vic, .vid, .video, .viewlet, .viff, .vis, .viv, .vivo, .vix, .vlab, .vle, .vlg, .vlp, .vlt, .vmdk, .vml, .vmo, .vmsd, .vmsn, .vmss, .vna, .vnt, .vob, .voc, .voi, .vox, .voxal, .voxb, .vp, .vp3, .vp6, .vp7, .vpd, .vpe, .vpj, .vpm, .vpp, .vpw, .vqf, .vrf, .vrl, .vrml, .vs4, .vsd, .vsdm, .vsdx, .vse, .vsh, .vsmproj, .vsp, .vsq, .vst, .vstm, .vstx, .vtx, .vud, .vue, .vvd, .vw, .vyf, .w02, .w3d, .w64, .wb1, .wb2, .wb3, .wbb, .wbc, .wbd, .wbk, .wbs, .wcat, .wcm, .wcp, .wdb, .wdf, .wdp, .web, .webm, .webp, .wem, .wgp, .wgs, .wi, .wic, .wlmp, .wlp, .wma, .wmga, .wmmp, .wmp, .wmt, .wmv, .wn, .wot, .wp, .wp3, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpc, .wpd, .wpe, .wpg, .wpk, .wpl, .wpp, .wproj, .wps, .wpw, .wq1, .wq2, .wrf, .wri, .wrk, .wrp, .wsd, .wsdl, .wtv, .wtx, .wv, .wve, .wvl, .wvp, .x_b, .x_t, .x3d, .x3f, .x64, .xaf, .xar, .xbdoc, .xbm, .xcf, .xdi, .xef, .xer, .xesc, .xfs, .xif, .xise, .xl, .xlc, .xld, .xlf, .xlk, .xlm, .xlmv, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xmap, .xmcd, .xmcdz, .xmct, .xmd, .xmf, .xmi, .xmind, .xmmap, .xmpz, .xof, .xol, .xpm, .xpp, .xps, .xpt, .xq, .xql, .xquery, .xqy, .xrp, .xry, .xsi, .xslic, .xtm, .xtp, .xv0, .xvid, .xwd, .xwf, .xwp, .xws, .xx, .xxe, .xz, .y, .y4m, .yab, .yaodl, .ybk, .ydl, .ygf, .yka, .ym, .yml, .yml2, .ync, .yog, .ypr, .yuv, .yz, .yz1, .z3d, .zab, .zabw, .zap, .zdp, .zfx, .zgm, .zi, .zif, .zip, .zipx, .zix, .zl, .zm1, .zm2, .zm3, .zmv, .zoo, .zpi, .zps, .zvr, .zw, .zz (2634 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных и специализированных программ и многие другие файлы.

Пропускаются файлы с расширениями .wsf, .js, .lnk, .exe, .tmp, т.к. они используются шифровальщиком. 

Архивация файлов производится специальной командой:
На другом ПК, разумеется, пароль будет другой. 

Из архивации и шифрования исключаются следующие директории:
\AMD
\AppData
\Application Data
\Boot
\BOOTSECT.BAK
\Chrome
\Config.Msi
\Dell
\Drivers
\ESTsoft
\FIFA
\Games
\HeroOnline
\HP
\Intel
\iTunes
\League
\Local Settings
\McAfee
\Microsoft
\MineCraft
\nDoors
\NortonInstaller
\Norton
\PerfLogs
\Program Files
\Program Files (x86)
\ProgramData
\Sample Media
\Sample Music
\Sample Pictures
\Sample Videos
\Setup
\SmileGate
\Steam
\Temporary
\TwelveSky
\WarRock
\Windows

Файлы, связанные с этим Ransomware:
All_Your_Documents
All Your Files in Archive!.txt
All_Your_Documents.rar
All_Your_Documents(:).lnk
PerformanceMonitor.dll
svchost.exe
<random>.js
<random>.exe
_tmp.dat
rar.exe
wrar.exe
wrar.tmp.exe

tmp<random>.exe
out.wsf
SysHost64.wsf или <random>.wsf

Расположение: 
Disk_name:\\All_Your_Documents\All_Your_Documents.rar
%\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll
%TEMP%\RarSFX0\out.wsf
%AppData%\Microsoft\Crypto\SysHost64.wsf

Записи реестра, связанные с этим Ransomware:
xxxx://daffycreative.com/wp-content/plugins/WPSecurity/***
xxxx://worldshowbiznews.com/wp-content/plugins/WPSecurity/***
52.25.65.169 (США, штат Орегон) 
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на скрипт >>


Обновление от 9 марта 2017:
Новая версия и новое название: 
RoshaLock 2.0
Файлы: такие же.
Результаты анализов: HA+VT.
<< Скриншот записки
Тема поддержки >>





Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RoshaLock)
 Topic Support
 *
 Thanks: 
 Michael Gillespie
 Alex Svirid (Thyrex)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *