воскресенье, 30 апреля 2017 г.

RSAUtil

RSAUtil Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону: .<ransom_email>.ID[victim_ID]

Например: 
.helppme@india.com.ID83994902
.some@mail.ru.ID16035194

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_return_files.txt 
Она дублируется изображением, встающим обоями рабочего стола.
 
Содержание записки о выкупе:
Hello my friend!
All files on your PC encryphted!
my email: helppme@india.com or
hepll 112@aol.com

Перевод записки на русский язык:
Привет мой друг!
Все файлы на твоем ПК зашифрованы!
Мой email: helppme@india.com или
hepll 112@aol.com

Содержание текста с экрана блокировки:
WARNING!!!
Your ID 83624883
OUR FILES ARE DECRIPTED
Your documents, photos, database, save games and other important data was encrypted.
Data recovery the necessary interpreter. To get the interpreter, should send an email to helppme@india.com or hepl1112@aol.com.
In a letter to include Your personal ID (see the beginning of this document).
In response to the letter You will receive the address of your Bitcoin wallet to which you want to perform the transfer.
When money transfer is confirmed, You will receive the decrypter file for Your computer.
After starting the programm-interpreter, all Your files will be restored.
Attention! Do not attempt to remove a program or run the anti-virus tools.

Красным выделены слова с ошибками, хотя и остальной текст не лучше. 😃

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
Ваш ID 83624883
OUR FILES ARE DECRIPTED
Зашифрованы ваши документы, фотографии, база данных, сохранения игр и другие важные данные.
Восстановить данные нужен интерпретатор. Для получения интерпретатора надо отправить email на helppme@india.com или hepl1112@aol.com.
В письме укажите Ваш личный ID (см. начало этого документа).
В ответ на письмо Вы получите адрес вашего биткойн-кошелька, на который Вы хотите сделать перевод.
Когда денежный перевод будет подтвержден, вы получите файл-декриптер для Вашего компьютера.
После запуска программы-интерпретатора все Ваши файлы будут восстановлены.
Внимание! Не пытайтесь удалить программу или запустить антивирусные программы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_return_files.txt
<random>.exe
svchosts.exe
NE SPAT.bat
DontSleep_x64.exe
DontSleep_x64.ini
image.jpg
DECODE_ALL_FILES.bat
config.cfg
private.pem
и другие. 

Расположения:
\ufffd\u0a2f\ufffd\ufffd/cripter/

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helppme@india.com и hepl1112@aol.com (от 30.04.2017)
some@mail.ru (от 16.05.2017)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на архив >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSAUtil)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

7 комментариев:

  1. Как дела обстоят с дешифровщиком? больше сотни баз 1С похерило в том числе на резерве

    ОтветитьУдалить
    Ответы
    1. Нет пока дешифровщиков. Увы. И вредонос до сих пор активен.

      Удалить
    2. А на текущий момент тоже не появилось? И помогает ли https://support.kaspersky.ru/viruses/disinfection/8547 ? Воспользоваться не получилось, требует оригинальный файл.

      Удалить
    3. Кирилл, утилита по ссылке не может помочь по простым причинам: не для него была создана и у неё последнее обновление (судя по дате на сайте) - декабрь 2016. А RSAUtil появилась в конце апреля 2017.
      Если появится декриптер или иной способ дешифровки, я добавлю блок со ссылкой на него.

      Удалить
  2. Утилита от DrWeba расшифровывает файлы офиса

    ОтветитьУдалить
  3. RannohDecryptor тоже работает , но очень медленно и список форматов не велик. Завтра напишу какие он может вылечить и кину ссылку на веба

    ОтветитьУдалить

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *