Если вы не видите здесь изображений, то используйте VPN.

пятница, 9 марта 2018 г.

FRS

FRS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальные названия: FRS Ransomware и FRS Decryptor. Разработчик: FIFCOM Corp.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .FRS

Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на китайских и англоязычных пользователей, что помогает распространять его по всему миру. В распространении, видимо, с июля 2017.

Записка с требованием выкупа называется:
READ_ME_HELP_ME.txt

Запиской с требованием выкупа выступает также изображение READ_ME_HELP_ME.png, встающее обоями Рабочего стола. Ему предшествует показ показ изображения с китайским флагом.

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
***FRS Ransomware***Chinese text***FRS Decryptor***
Is the content of your files not readable?
It is normal,because your important files have been encrypted by the "FRS Ransomware".
It means your files are NOT DAMAGED!Your files are just encrypted.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is use special decryption tool "FRS Decryptor".
Please wait for "FRS Decryptor" to start automatically.
If "FRS Decryptor" does not start automatically, open "FRS Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
***FRS Ransomware***китайский текст***FRS Decryptor***
Содержимое ваших файлов недоступно для чтения?
Это нормально, потому что ваши важные файлы зашифрованы "FRS Ransomware".
Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы.
С этого момента вы не сможете использовать ваши файлы, пока они не будут дешифрованы.
Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FRS Decryptor".
Подождите, пока "FRS Decryptor" запустится автоматически.
Если "FRS Decryptor" не запускается автоматически, откройте "FRS Decryptor" на рабочем столе.

Содержание руководства FRS Decryptor
FRS Decryptor  FRS Ransomware
---
Decrypt all files you should buy Advanced Edition FRS Decryptor.
Way of buying:Send 0.050 bitcoins to the specified address(Worth about $303).
Address:1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwX
Send a message to the E-mail address after payment:
E-mail: FRSDecryptor@fifcom.cn
Title: Buy FRS Decryptor
Content: Your payment information
You will get a reply after send E-mail,The message contains an activation code,
Please enter below.
Press [Enter] to confirm,FRS Decryptor will decrypt all encrypted files



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Скомпилирован с помощью "Quick Batch File Compiler". 

➤ Данный скриншот демонстрирует показ экран, сообщающего о нелицензионной версии Windows, за которой скрыт экран FRS Decryptor


Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .exe, .flv, .gif, .lnk, .m4a, .mkv, .mp4, .odp, .ods, .pdf, .png, .ppt, .rtf, .swf, .wav и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, флеш-файлы, exe-файлы и пр.

Файлы, связанные с этим Ransomware:
FRS.exe
FRS_Decryptor.exe
READ_ME_HELP_ME.txt
READ_ME_HELP_ME.png
CV9P5M85.bat
01T92RG5.bat
Chinese_national_flag.png
1.txt
temp.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\CV9P5M85.bat
\Temp\01T92RG5.bat
\FRSDecryptor\1.txt
\FRS_TEMP\temp.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FRSDecryptor@fifcom.cn
xxxxs://www.abyssmedia.com/
BTC: 1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwXСм. ниже результаты анализов.

Результаты анализов:
 VirusBay образец >>
Гибридный анализ >>
VirusTotal анализ >>
VMRay анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (iD as FRSRansomware)
 Write-up, Topic of Support
 🎥 Video review >>
 - видео предоставлено сервисом ANY.RUN
 Thanks: 
 Karsten Hahn
 сервисам ANY.RUN, VWRay
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *