OpenToYou Ransomware
OpenToDecrypt Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует связаться по email, чтобы вернуть файлы. Написан на Delphi. Название дано по логину почты: OpenToYou. Ранее назывался: OpenToDecrypt.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .-opentoyou@india.com
Активность этого криптовымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записками с требованием выкупа являются: !!!.txt и скринлок, встающий обоями рабочего стола (файлы 1.bmp или 1.jpg).
Содержание записки о выкупе:
Your files are encrypted!
To decrypt write on email - opentoyou@india.com
Identification key - 5E1C0884
Перевод записки на русский язык:
Твои файлы зашифрованы!
Для дешифровки пиши на email - opentoyou@india.com
Ключ идентификации - 5E1C0884
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .4db, .7z, .7zip, .accdb, .accdt, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpd, .mpp, .mpqge, .mrwref, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .png, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр. OpenToYou также шифрует файлы, которые не имеют своих расширений.
OpenToYou пропускает файлы, находящиеся в следующих директориях:
C:\$Recycle.Bin
C:\Logs
C:\Users\All Users
C:\Windows
C:\ProgramData
C:\Program Files
C:\Program Files (x86)
C:\nvidia
C:\intel
C:\Boot
C:\bootmgr
C:\PerfLogs
C:\Drivers
C:\MSOCache
C:\Program instal
%USERPROFILE%\AppData
Разработчик шифровальщика-вымогателя допустил ошибку, вписав файл bootmgr в список пропускаемых директорий, в результате чего системынй загрузчик bootmgr шифруется, что приводит к невозможности загрузки операционной системы.
Файлы, связанные с этим Ransomware:
!!!.txt
<random>.exe
C:\Logs\1.bmp - файл на обои
C:\Logs\1.jpg - файл на обои
C:\Logs\AllFilesList.ini
C:\Logs\Log.ansi.txt
C:\Logs\Log.UTF-16LE.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
opentoyou@india.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Внимание!
Для зашифрованных файлов есть декриптер!
Read to links:
Tweet on Twitter
ID Ransomware (ID as OpenToYou)
Write-up
Thanks:
Fabian Wosar (for Decrypter)
Michael Gillespie
Catalin Cimpanu
*
Новый 2017 год начался!!!
© Amigo-A (Andrew Ivanov): All blog articles.