Encryptss77 Ransomware
SFX Monster Ransomware
(шифровальщик-вымогатель)
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Как удалить? Как расшифровать? Как вернуть данные?
Информация о шифровальщике
Названия получил от email вымогателей и из-за возможностей используемого ПО WinRar по созданию SFX-архива с паролем. Несколько антивирусных движков на VT выдали в графе "Результат" слово InstallMonster на созданный вредоносом файл SFX-архива.
© Генеалогия: неизвестна
К зашифрованным с помощью WinRar файлам добавляется расширение .exe, которое даётся всем SFX-файлам.
Из файлов получаются такие портянки
encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.30cr0ptss77@gmail.com.00cr1ptss77@gma4l.co1.91cr6pt0477@g1531Cv8.exe
encryptss77_gmail.com.e0cryptss77_gmail.com.e0cr2ptss77_gmail.com.10cr0ptss77_gmail.com.70cr1ptss77_gma0l.co0.31cr6pt2377_g623Check2016.exe
Активность этого криптовымогателя пришлась на июнь-август 2016 г. Ориентирован на русскоязычных пользователей.
Записки с требованием выкупа называются:
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Содержание записки о выкупе:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ЧТОБЫ ИХ РАСШИФРОВАТЬ
НАПИШИТЕ НАМ НА encryptss77@gmail.com
В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
НА КОТОРОМ УВИДЕЛИ ЭТО СООБЩЕНИЕ
ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ
Перевод на английский язык:
YOUR FILES ARE ENCRYPTED
THAT THEIR DECRYPT
SEND EMAIL US AT encryptss77@gmail.com
IN MESSAGE INDICATE IP ADDRESS OF COMPUTER
WHERE YOU SAW THIS MESSAGE
YOU CAN FIND IT ON 2IP.RU
WE WILL REPLY TO YOU WITHIN 24 HOURS
Несколько пострадавших сообщили о взломе сервера по протоколу RDP и далее по локальной сети. По большей части атака ориентирована на повреждение баз 1С-Бухгалтерии и всего документооборота компании или учреждения, в том числе страдают подключенные облачные диски (Яндекс-диск и пр.) и неотображаемые сетевые ресурсы.
После такой атаки НЕОБХОДИМО поменять ВСЕ пароли. Облачные диски необходимо пересоздать и удалить с жёсткого диска использованные папки, автоматически передающие файлы в этот облачный диск. Вообще технология автоматической онлайн-передачи файлов ошибочна и только наруку шифровальщикам.
Может также распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов с использованием методов социальной инженерии. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe.
Список файловых расширений, подвергающихся шифрованию и архивированию:
.111, .1cd, .1cl,.7z, .aga, .backup, .bak, .bas, .bkf, .bkp, .bpl, .cab, .cdr, .cdx, .cer, .cf, .cf, .cfg, .clme1, .config, .crt, .cs, .csv, .cub, .dat, .db, .dbf, .dd, .df7, .djvu, .doc, .docx, .dt, .efd, .eml, .epf, .erf, .ert, .fbk, .fdb, .fit, .fpt, .gbk, .gdb, .hbi, .hfld, .html, .idx, .ifo, .jpeg, .jpg, .jrxml, .key, .kwm, .lck, .ldf, .lgb, .lgd, .lgf, .lst, .md, .mdb, .mdf, .mir, .mira, .mkb, .mlg, .mp3, .mp4, .mst, .mxl, .nd, .ndf, .nup, .ods, .odt, .ord, .p12, .pck, .pdf, .pf, .pfx, .php, .png, .ppt, .pptx, .prm, .psd, .pwm, .rar, .raw, .rcd, .resx, .rpl, .rtf, .scx, .sec, .sldprt, .sql, .srx, .st, .tar, .tar, .tcb, .tgr, .tib, .tif, .tip, .trn, .txt, .ubs, .udb, .umpts, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vob, .xfld, .xls, .xlsx, .xml, .xsd, .xtbl, .zbk, .zip, .zs2, .ztp (129 расширений).
Файлы, связанные с Encryptss77 Ransomware:
C:\Users\User\AppData\Roaming\System.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe
Записи реестра, связанные с Encryptss77 Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: * * *
Thanks: Thyrex * *
© Amigo-A (Andrew Ivanov): All blog articles.
