среда, 12 октября 2016 г.

NCrypt

NCrypt Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название получил от добавляемого расширения. 

© Генеалогия: ***

К зашифрованным файлам добавляется расширение .NCRYPT или .ncrypt.

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Содержание записки о выкупе:
Your Data Has Been Encrypted!
Your important files (photos, videos, documents,etc) have been encrypted with a secure key and are no longer usable.
The only way to restore your files is to purchase the unique encryption key.
To purchase the key, send 0.2 Bitcoin (Approx $120.00 USD ) to this Bitcoin address: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
For information on how to send Bitcoin, see one of these links: QuickBT - easy way to send bitcoin , CoinJar , Getting Started With BitCoin
Once you have sent payment, send and EMAIL to rw1contact@onionmail.info with the [redacted] as the SUBJECT and the BitCoin transaction id as the BODY. Do not include other information, this email will not be read but will be processed by an automated system.
Once payment is confirmed, the Decryption Application, Decryption Key, and Decryption Instructions will be sent in an email (to the address that was used to send the Bitcoin Transaction ID). - the decryption application/key will restore your files.
There is no other way to recover your files, the encryption key is unique to your files and uncrackable.
WARNING! FAILURE TO PAY BY 10/14/2016 3:30:37 PM WILL RESULT IN THE DELETION OF THE ENCRYTPTION KEY, MAKING YOUR FILES COMPLETELY UNRECOVERABLE.

Перевод записки на русский язык:
Ваши данные были зашифрованы!
Ваши важные файлы (фото, видео, документы и т.д.) были зашифрованы с помощью секретного ключа и больше не могут использоваться.
Единственный способ восстановить файлы, это приобрести уникальный ключ шифрования.
Чтобы приобрести ключ, отправьте 0,2 Bitcoin (около $ 120,00 USD) на Bitcoin-адрес: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
Для получения информации о том, как отправить Bitcoin, откройте одну из этих ссылок: QuickBT - простой способ отправить Bitcoin, CoinJar, Getting Started With BitCoin
После того как вы сделали платеж, отправьте на email rw1contact@onionmail.info 31e1c23a-f17e-445b-acad-23c58adfcd6f в качестве темы и ID Bitcoin-транзакции в теле письма. Не включайте другую информацию, т.к. мы не будем читать письмо, оно будет обработано с помощью автоматизированной системы.
После подтверждения оплаты, программа дешифровки, ключ дешифрования и инструкции по дешифровке будут отправлены на ваш email  (адрес, который был использован вами для отправки ID Bitcoin-транзакции). - программа дешифровки / ключ восстановления файлов.
Нет никакого другого способа восстановить файлы, ключ шифрования является уникальным для ваших файлов и невзламываемым.
ПРЕДУПРЕЖДЕНИЕ! Неуплата до 10/14/2016 3:30:37 PM приведёт к удаления ключа шифрования, делая ваши файлы полностью невозвратными.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с NCrypt Ransomware:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Записи реестра, связанные с NCrypt Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *