Retis Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RANSOMWARE. На файле написано: RANSOMWARE.exe. На изображении, заменяющем обои, написано: Hack Lab by RETIS. Среда разработки: .NET.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .crypted
Активность этого крипто-вымогателя пришлась на средину декабря 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает файл RANSOM.png, заменяющий обои.
Содержание текста о выкупе:
Votre bureau, vos photos, vos données et autres dossiers importants ont été chiffrés avec un algorithme fort et une clé unique générés pour cet ordinateur.
La clé secrète pour déchiffrer vos données est gardée sur un serveur d'Internet, et personne ne peut déchiffrer vos fichiers jusqu'à ce que vous payez pour l'obtenir.
Vous disposez d'un délai de 24 heures pour nous transmettre le paiement.
PASSÉ CE DÉLAI VOTRE CLÉ SERA SUPPRIMÉE OE NOS SERVEURS ET IL NE SERA PLUS POSSIBLE POUR VOUS OE RÉCUPÉRER VOS DONNÉES
HackLab by Retis
Перевод текста на русский язык:
Ваш офис, фото, данные и другие важные файлы были зашифрованы с помощью сильного алгоритма и уникального ключа, созданного для этого компьютера.
Секретный ключ для расшифровки ваших данных хранится на интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите, чтобы получить его.
У вас есть 24 часа, чтобы отправить нам платеж.
ПО ОКОНЧАНИИ ЭТОГО СРОКА ВАШ КЛЮЧ БУДЕТ УДАЛЕН С НАШИХ
СЕРВЕРОВ, И ВАМ БОЛЬШЕ НЕ УДАСТСЯ ВОССТАНОВИТЬ ВАШИ ДАННЫЕ.
HackLab by Retis
HackLab by Retis
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Подробности по шифрованию:
Используется AES-шифрование со статическим паролем, поэтому файлы можно легко дешифровать.
AES key - "m4aP}2a_Jd`H~=k9aML58-ZJwy/j:e5Q"
AES IV - "R<0]W&JCfaD^('FX"
Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpeg, .jpg, .one, .pdf, .png, .ppt, .pptx, .txt, .xls, .xlsx (12 расширений).
Это документы MS Office, PDF, текстовые файлы, фотографии и пр.
Файлы, связанные с этим Ransomware:
RANSOM.png
RANSOMWARE.exe
<random>.exe
Расположения:
%APPDATA%\RANSOM.png
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: SDK Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
