суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов за расшифровку. Вымогатель заменяет обои Рабочего стола на собственное изображение с текстом о выкупе. Уплатить выкуп необходимо в течении 48 часов. Зашифрованные файлы получают расширение .CrySis, которое дополняется почтовым адресом вымогателей. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Указанные почтовые адреса вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
Обои, установленные вымогателем
Текстовое сообщение вымогателя

Файлы, принадлежащие вымогателю:
C:\Users\W7_MMD\Desktop\name.exe
C:\Users\W7_MMD\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\W7_MMD\Documents\wp.jpg
C:\Users\W7_MMD\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Новые вариации смотрите по ссылке

Степень распространённости: низкая. 
Подробные сведения собираются.


Внимание!
Для зашифрованный файлов есть декрипторы! 
Скачать ESET Crysis decryptor для CrySiS >>

Обновление от 15 апреля 2017:
Файл: volantem_diem@aol.com.exe
Записка: grand car back data.txt
Инструкция: HTA payment instructions 
Расширение: .onion
Email: volantem_diem@aol.com
Пример расширения: .id-12345678.[volantem_diem©aol.com].onion
Примеры зашифрованных файлов:
file.bmp.id-12345678.[volantem_diem©aol.com].onion
file.doc.id-12345678.[volantem_diem@aol.com].onion
file.jpg.id-12345678.[volantem_diem©aol.com].onion
file.mp3.id-12345678.[volantem_diem@aol.com].onion
file.pdf.id-12345678.[volantem_diem@aol.com].onion
file.png.id-12345678.[volantem_diem@aol.com].onion
file.txt.id-12345678.[volantem_diem©aol.com].onion

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *