воскресенье, 30 апреля 2017 г.

RSAUtil

RSAUtil Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону: 
.[ransom_email].ID<victim_ID>

Например: 
.helppme@india.com.ID83994902
.some@mail.ru.ID16035194

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_return_files.txt 
Она дублируется изображением, встающим обоями рабочего стола.
 
Содержание записки о выкупе:
Hello my friend!
All files on your PC encryphted!
my email: helppme@india.com or
hepll 112@aol.com

Перевод записки на русский язык:
Привет мой друг!
Все файлы на твоем ПК зашифрованы!
Мой email: helppme@india.com или
hepll 112@aol.com

Содержание текста с экрана блокировки:
WARNING!!!
Your ID 83624883
OUR FILES ARE DECRIPTED
Your documents, photos, database, save games and other important data was encrypted.
Data recovery the necessary interpreter. To get the interpreter, should send an email to helppme@india.com or hepl1112@aol.com.
In a letter to include Your personal ID (see the beginning of this document).
In response to the letter You will receive the address of your Bitcoin wallet to which you want to perform the transfer.
When money transfer is confirmed, You will receive the decrypter file for Your computer.
After starting the programm-interpreter, all Your files will be restored.
Attention! Do not attempt to remove a program or run the anti-virus tools.

Красным выделены слова с ошибками, хотя и остальной текст не лучше. 😃

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
Ваш ID 83624883
OUR FILES ARE DECRIPTED
Зашифрованы ваши документы, фотографии, база данных, сохранения игр и другие важные данные.
Восстановить данные нужен интерпретатор. Для получения интерпретатора надо отправить email на helppme@india.com или hepl1112@aol.com.
В письме укажите Ваш личный ID (см. начало этого документа).
В ответ на письмо Вы получите адрес вашего биткойн-кошелька, на который Вы хотите сделать перевод.
Когда денежный перевод будет подтвержден, вы получите файл-декриптер для Вашего компьютера.
После запуска программы-интерпретатора все Ваши файлы будут восстановлены.
Внимание! Не пытайтесь удалить программу или запустить антивирусные программы.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_return_files.txt
<random>.exe
svchosts.exe
NE SPAT.bat
DontSleep_x64.exe
DontSleep_x64.ini
image.jpg
DECODE_ALL_FILES.bat
config.cfg
private.pem
и другие. 

Расположения:
\ufffd\u0a2f\ufffd\ufffd/cripter/

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helppme@india.com и hepl1112@aol.com (от 30.04.2017)
some@mail.ru (от 16.05.2017)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на архив >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 31 мая 2017:
Email: ziz777@gmx.com, ziz777@india.com
Расширение: .[ziz777@india.com].ID<random_digits8>
Пример зашифрованного файла: Documents.docx.[ziz777@india.com].ID74930660
См. также комментарии Константина Козлова от 31 мая 2017 г. и Denis Karpov от 17 июня 2017. 


Обновление от 5 августа 2017:
Расширение: URSA.ID89817182
Email: ursa2277@gmx.com
ursa2277@yahoo.com
ursa2277@india.com
ursa2277@bk.ru
Записка: How_return_files.txt  
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=56673
*forum.kasperskyclub.ru/index.php?showtopic=56685
<< Скриншот записки на английском языке


Обновление от 3 октября 2017:
Расширение (шаблон): .[alexjer554@gmx.com].ID<victim_ID>
Расширение (пример): .[alexjer554@gmx.com].ID40506070
Email: alexjer554@gmx.com и alexjer554@india.com
Записка: How_return_files.txt
Файлы: NE SPAT.bat, xmrig.exe, svhosts.exe
Папки: \cripter\ и другие. 
Расположения: \AppData\Local\Chrome\xmrig.exe
\cripter\NE SPAT.bat
\cripter\svhosts.exe
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=57157
*forum.kasperskyclub.ru/index.php?showtopic=57214
*forum.kaspersky.com/index.php?/topic/380468-шифровальщик/
<< Скриншот записки на русском языке







 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSAUtil)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ! ВНИМАНИЕ! ВНИМАНИЕ!
Если вам здесь предлагают купить дешифратор, то сообщите об этом модератору через форму обратной связи (она внизу, ниже комментариев). Или напишите открытым текстом в комментариях.

32 комментария:

  1. Как дела обстоят с дешифровщиком? больше сотни баз 1С похерило в том числе на резерве

    ОтветитьУдалить
    Ответы
    1. Нет пока дешифровщиков. Увы. И вредонос до сих пор активен.

      Удалить
    2. А на текущий момент тоже не появилось? И помогает ли https://support.kaspersky.ru/viruses/disinfection/8547 ? Воспользоваться не получилось, требует оригинальный файл.

      Удалить
    3. Кирилл, утилита по ссылке не может помочь по простым причинам: не для него была создана и у неё последнее обновление (судя по дате на сайте) - декабрь 2016. А RSAUtil появилась в конце апреля 2017.
      Если появится декриптер или иной способ дешифровки, я добавлю блок со ссылкой на него.

      Удалить
  2. Утилита от DrWeba расшифровывает файлы офиса

    ОтветитьУдалить
  3. RannohDecryptor тоже работает , но очень медленно и список форматов не велик. Завтра напишу какие он может вылечить и кину ссылку на веба

    ОтветитьУдалить
  4. На сайте Dr.Web расшифровывают, если есть оригинал и зараженный файл. Только у тебя должен быть лицензионный ихний антивирус почти за 6 тыс руб )))

    ОтветитьУдалить
  5. Добрый день.
    Подцепил этот же вирус, во всяком случае поведение, изменение имён файлов и записка вымогателя совпадают.
    Адреса для контакта - ziz777 at gmx.com, ziz777 at india.com
    Из примечательного:
    1. Короткие файлы зашифрованы полностью
    2. У больших файлов зашифрован только кусок в начале
    3. К каждому файлу в конце после разделителя (16 байт 0х0) добавлена приписка, тоже кодированная
    4. Из связанных файлов - есть не все, дополнительно встретил INFOFILE, DesktopImg, msvcr90.dll - все в папке cripter.
    5. Все файлы вируса были зашифроаны по тому же принципу, что и остальные файлы на компе.
    6. Исполняемый файл был назван svhosts.exe, а не svchosts.exe

    Приписки в конце файлов практически идентичны, видел вроде как 3 вариации, что наводит мысли на шифрование RSA с сеансовым ключом.
    Размер блока для шифрования - 16 байт, во всяком случае для больших файлов. Если подскажете лучший вариант, куда это всё отписать - с удовольствием сделаю =)

    PS. Как и сказал, папка с вируснёй так же зашифрована, так что пример прислать не могу. Единственное, что есть - svhosts.exe из дампа памяти запущенного на машине процесса.

    ОтветитьУдалить
    Ответы
    1. Спасибо, добавил email-ы в обновления со сноской на ваш комментарий. Скриншот записки был бы кстати.

      Удалить
  6. Тот же вирус, что и в последнем посте, но папка с вирусом была не зашифрована. Находился в папке Downloads в профиле у пользователя.
    Если нужно тело, вот ссылка:
    https://cloud.mail.ru/public/JfuT/t6keUJSQG
    Пароль qweqweqwe
    Встроенный майловский антивирь видет в нем вирус

    ОтветитьУдалить
    Ответы
    1. Пример зашифрованного и незашифрованного файла:
      Шифрованный:
      https://cloud.mail.ru/public/GKAC/LpvEdcbi3
      Нешифрованный:
      https://cloud.mail.ru/public/7EPY/CjqhSN1rx

      Удалить
  7. Спасибо. Добавил информацию в обновления к статье.

    ОтветитьУдалить
  8. Из-за важности зашифрованной информации, пришлось выкупить ключ для дешифрации, выглядит так:
    MIIEowIBAAKCAQEArizZrORp7FFfPZI00voB3TfnLS/SD/sBL7Kj75GXJ9JiPWfW
    NWEXz8aMkvqmDQRe64XWr48bMocMtMRpMAJzhmwM1qzwU4MAqkpt2oIL5M0s7eaq
    fMbm86JLfVk3HikCwzYd0KOAWTgPXyX0VGNIZzWD5BuZrZvpphkorIYQUiv/FmMX
    WMsEAyoCjP3G4MJRd3fsC8l1PSfp8TtdKxF87wn4j1ILKDElF7pkd6k9IsRhXnkv
    Sh7JzNcp8Nsav3zOxVxVkplWnT8JOWFYRf5ssxMKCCYXZ2POxZVjY6R+qrKVOIiH
    IEH+F1rguHVjNbUYJTGrqOVfIvggp+qWqjUWVwIBAwKCAQB0HeZzQvFINj9+YXiM
    pqvoz+9zdTa1UgDKdxf1C7oajEF+RTl462U1Lwhh/G6zWD9Hro8ftLzMWgh4gvDK
    rE0ESAiPHfWNAgBxhvPnAV1DM3NJRHGohJn3wYeo5iS+xgHXeWk1wlWQ0Ao/bqLi
    7NrveQKYEmZzvUZuu3BzBArhcZBdAOr37LKT6F735UZfYlTtrO9h/nRbxEFa568b
    MuXcvT/hRjstwu2XjtPaayaKf88UHKZCYM3SR4CzzRF3ulcPcDlm6jhkMQuHWyYk
    XfiZT5a9YgYjHkJzNS4DV9buJYaOWRtNvoGfN6jR890xF4bVCA38VKogjcEe9lIX
    Ioi7AoGBANoau1gzLK/LN3cu+NuaxWSmlmIC3+V46WEAbORyYDIXJSXakBkPiRzj
    mlbOtTAuBD6ghsPvdw+ztMpRkoAwQp45udCSS7bM/EeUir+/tYX4e2IksBZansA+
    iRqPx16ti9FYM1P0SvH9dB0N+4Ck1Ne7DrPowVZM9ZJGFkV35KUtAoGBAMxwJl6x
    u0haFfzqLQG26W1sXiL16+E6mCbocvIP5PIMyPLi2JlUA6PQyc/hU1MlAGwfx3H3
    FoVdtx6RlQBboq30ei7l7ks5+TBZzd9Pu/HUoEXHYvfYF6raPIPO2V2X7noKz4o3
    WUmrE0ZvjBbHPPYqluLFpQmlLeyzYtYPnKQTAoGBAJFnJ5AiHcqHek90pee8g5hv
    DuwB6pj7RkCq80L26swPbhk8YBC1BhNCZuSJziAerX8Vry1KT1/NIzGLtwAgLGl7
    0TW23SSIqC+4XH/VI66lp5bDIA7nFIApsLxf2j8eXTY6zOKi3KFTor4JUlXDOI/S
    Cc1F1jmIo7bZZC5P7cNzAoGBAIhKxD8hJ4WRY/3xc1Z58POdlBdOnUDRusSa90wK
    mKFd20yXOxDirRfghoqWN4zDVZ1qhPakua4+ehRhDgA9Fx6i/B9D9DImpiA73pTf
    0qE4atkvl0/lZRyRfa00kOkP9FFcilwk5jEct4RKXWSE007HD0HZGLEYyUh3lzlf
    vcK3AoGBANPToGlCjk2FFPljN5dClQF5Ql0+ULqK/0Il9FXrKzREF2uhoF+n1QYs
    W2nevtrVYgImplT2kCIVDcY0qckcaE/RwdIRIc620pevY6m2OEhN+99CjWmZo86H
    QYI8UCIwr0lJ7zcEMXaLK/shGsTmDmEyEuMQNqeSKEkchaYQ/2vA
    Если данная информация поможет кому то,- замечательно.
    Не уверен, что стоит это публиковать, так что если что не пропускайте.

    ОтветитьУдалить
    Ответы
    1. Дешифровка прошла успешно?

      Удалить
    2. Да, всё расшифровалось за 2 минуты. (около 80Гб данных). Удивился скорости.

      Удалить
    3. чем дешифрацию производили? какая утилита?

      Удалить
    4. Максим, дешифратор и ключ Денис получил у вымогателей после оплаты.

      Удалить
  9. Еще немного о механизме распространения, из того, что удалось выяснить:
    Попадает с помощью RDP (при чем порт RDP нестандартный использовался) Были отсканированы порты, кстати сканирование портов до сих пор продолжаются. Сканируют с разных IP адресов, например:
    19/Jun/2017 07:49:50] IPS: Port Scan, protocol: TCP, source: 5.8.49.21, destination: <>, ports: 3384, 3386, 3388, 3389, 3390, 3392, 3394, 3396, 3398, 3400, ...
    [19/Jun/2017 04:55:15] IPS: Port Scan, protocol: TCP, source: 94.102.49.88, destination: <>, ports: 3336, 3363, 3374, 3376, 3378, 3379, 3383, 3392, 3393, 3395, ...
    [19/Jun/2017 08:44:31] IPS: Port Scan, protocol: TCP, source: 185.110.56.133, destination: <>, ports: 35357, 58415, 53552, 40755, 43571, 52344, 41128, 47300, 33778, 60153, ...
    Дальше в течении двух суток был подбор логина/пароля.
    Нашлась временная учетка, которую забыли удалить (Бухгалтер) с простым паролем (1111) и доступом к РДП.
    После этого был осуществлен вход, подкачено тело вируса и зашифрованы файлы, к которым был доступ у этого пользователя.
    Машина эта использовалась как сервер приложения 1С (RemoteApp). Антивирус не стоял. И, к сожалению, у этого пользователя был доступ к двум базам 1С (файловым), которые в последствии и были зашифрованы. Резервные копии этих баз не делались. Точнее делались, но почему то по воле местного программиста на тот же диск, ну и понятно тоже зашифровались %).
    В общем от сюда вывод:
    1. Вирус пришел не по почте (!)
    2. Правильно сделанные бакапы и теневые копии полностью нивелируют последствия действия вируса.
    3. Антивирус должен стоять на всех компьютерах в сети. Попав всего лишь на один, даже самый малозначимый, может заставить понервничать.
    4. Открытый порт RDP, даже нестандартный - красная тряпка для попыток входа. И если внутри сети вы используете стандартные логины (Админ, ГлавБух, пользователь, user, и т.п.) и несложные пароли (qwerty, 1234, 1111, и т.п.) - только вопрос времени, как быстро ваша система подвергнется нападению

    ОтветитьУдалить
  10. Ребята, я столкнулся с таким же вирусом, причем он заразил все файлы 1С и файлового-сервера, помог ключ предоставленный - Denis Karpov, я ввел его и файлы декриптовались, огромное спасибо - Denis Karpov!

    ОтветитьУдалить
    Ответы
    1. А куда вы его вводили?

      Удалить
    2. Denis Karpov можете выложить дешифратор который вам прислали?

      Удалить
  11. Мы тоже поймали этот вирус, опробовали ключ выложенный выше, с его помощью удалось дешифровать файлы, но без верного ключа файлы нормально не дешифруются, их структура нарушается.

    ОтветитьУдалить
  12. Друзья у меня есть дешифратор от dr.web, кому нужен, пишите мне на почту a.rashepkin@gmail.com

    ОтветитьУдалить
    Ответы
    1. плииз помоги кинь дешиaфратор. lucas12@mail.ru

      Удалить
    2. Добрый день. Интересует дешифратор, угораздило подхватить заразу :(
      fromriga@yahoo.com

      Удалить
  13. Дешифратор от Александра реально помог, огромное ему спасибо за помощь!

    ОтветитьУдалить
    Ответы
    1. плииз помоги кинь дешиaфратор. lucas12@mail.ru

      Удалить
    2. После получения, отпишите здесь, чтобы я мог удалить ваш email, а то его спам-боты засекут.

      Удалить
  14. Коллеги по несчастью, доброго времени суток. Поделитесь дешифратором, RSAUtil-Ransomware все фотки испоганил (детей и внуков). Словил, похоже, по RDP (нестандартный порт), но пароль не самый простой (Zse123!), сменил, конечно. Заранее благодарен, Александр, kaz3162@ya.ru

    ОтветитьУдалить
  15. Тоже поймал эту гадость. буду благодарен за дешифратор. romanko.a@gmail.com

    ОтветитьУдалить
  16. Дешифратор есть, дело в том, что приватный ключ у каждого свой

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *