Если вы не видите здесь изображений, то используйте VPN.

среда, 9 ноября 2016 г.

PaySafeGen

PaySafeGen (German) Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует шифрует файлы с помощью AES-256, а затем требует оплаты в PaySafeCard, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. 

Название получил от совмещения слов: Paysafecard и Generator. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cry_ 
Но ставится оно перед оригинальным расширением. Т.е. файл с оригинальным названием Document.docx станет файлом Document.cry_docx

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана. 

Содержание записки о выкупе:
WARNUNG!
ALLE wichtigen Dateien und/oder Programme auf ihrem Computer
wurden mit AES-256 verschlüsselt. Das bedeutet Sie können ihre Dateien und Programme erst wieder verwenden wenn Sie sich einen 128-Stelligen Entschlüsslungscode für 100€ kaufen. Nachdem sich dieses Fenster geschlossen hat, finden Sie auf ihrem Desktop eine Datei mit dem Namen „Kaufen" oder „Kaufen.exe".
Geben Sie dort einen gültigen 100€-Paysafecardcode und ihre Email ein. Paysafecardcodes finden Sie in fast jeder Tankstelle und/oder Supermärkten. Nach der Verifizierung des Codes durch uns bekommen Sie per Email den Entschlüsslungscode zusammen mit weiteren Instruktionen, um ihre Dateien zu entschlüsseln.
FALLS INNERHALB DER NÄCHSTEN 72 STUNDEN KEINE ZAHLUNG ERFOLGT WERDEN ALLE DATEN GELÖSCHT.
Drücken Sie jetzt ENTER um auf Ihren Desktop zurückzukehren.

Перевод записки на русский язык:
ВНИМАНИЕ!
Все важные файлы и / или программы на вашем компьютере зашифрованы с AES-256. Это означает, что вы можете пользоваться файлами и программами снова, только если купите 128-значный код дешифрования за €100. После закрытия этого окна вы найдёте на рабочем столе файл с именем "Kaufen" или "Kaufen.exe".
Вам понядобится карта PaySafeCard на €100 и действительный email. PaySafeCard имеются почти в каждой заправочной станции и / или в супермаркетах. После проверки кода, через нас вы получите на email вместе кодом дешифрования дальнейшие инструкции для расшифровки ваших файлов.
ПО ИСТЕЧЕНИИ 72 ЧАСОВ НЕПОСТУПЛЕНИЯ ПЛАТЕЖА ВСЕ ДАННЫЕ БУДУТ УДАЛЕНЫ.
Теперь нажмите кнопку ENTER, чтобы вернуться на Рабочий стол.


Текст с файла Kaufen:
Falls der Server fuer laengere Zeit nicht erreichbar sein sollte, koennen Sie eine Email an cry_16@hmamail.com senden in der der PSC-Code zusammen mit der HWID steht.
"Senden".
"Sie haben ihren Code bereits per Email erhalten? Klicken Sie hier um ihre Daten zu entschluesseln"

Перевод на русский:
Если сервер долгое время не доступен, вы можете отправить на email cry_16@hmamail.com код PSC вместе с HWID.
Кнопка "Отправить".
Кнопка "Получили свой код по email? Нажмите, чтобы расшифровать ваши данные"

Код PSC можно получить с помощью Paysafecard Generator 2016.


Еще не распространялся автором, толи не тестировался, толи недоработан. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
doc, docx, jpg, mp3, pdf, png, txt, xls, xlsx

Файлы, связанные с PaySafeGen Ransomware:
Kaufen.exe
Cry.exe
C:\Documents and Settings\<USER>\Start Menu\Programs\Startup\tmpdel.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut3.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Cry.exe
C:\Documents and Settings\<USER>\Local Settings\Temp\Cry.exe
C:\Documents and Settings\<USER>\Application Data\Cry\sh.dat 
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\crr.cry
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qjzigsn
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Cab4.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Tar5.tmp
И другие. 

Записи реестра, связанные с PaySafeGen Ransomware:
***

Сетевые подключения:
s2o757cbk5xw4pad.onion.link (103.198.0.2)
www.download.windowsupdate.com (88.221.14.16)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PaySafeGen)
 *
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *