CryptoLocker3 Ransomware
Fake CryptoLocker
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Разработчик: staffttt.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .cryptolocker
Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает блокировщик экрана с двумя окнами.
Содержание текста о выкупе:
1 окно
Your Personal files are encrypted!
Your personal files encryption produced on this computer photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files located on a secret server on the Internet, the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0,5 bitcoin.
You can easily delete this software, but know that without it, you-will never be able to get your original files back.
Disable your antivirus to prevent the removal of this software.
For more information on how to buy and send bitcoins, click 'Pay with Bitcoin'
To open a list of encoded files, click 'Show files'
Private key will be destroyed on 31/12/2016
button 'Show files'
button 'Pay with Bitcoin'
Перевод текста на русский язык:
Ваши персональные файлы зашифрованы!
Ваши личные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048, созданного для этого компьютера.
Для расшифровки файлов вам необходимо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, находится на секретном сервере в Интернет, сервер уничтожить ключ по истечении времени, указанного в этом окне. После этого никто и никогда не сможет восстановить файлы ...
Для получения секретного ключа для этого компьютера, который автоматически расшифрует файлы, вам нужно оплатить 0,5 биткоина.
Вы можете легко удалить эту программу, но знайте, что без него, вы никогда не сможете вернуть исходные файлы.
Отключите антивирус, чтобы предотвратить удаление этой программы.
Для информации о том, как купить и отправить биткоины, нажмите кнопку 'Pay with Bitcoin'
Чтобы открыть список закодированных, нажмите кнопку 'Show files'
Секретный ключ будет уничтожен 31/12/2016
Кнопка 'Show files'
Кнопка 'Pay with Bitcoin'
2 окно
Your Personal files are encrypted!
Bitcoin is a cryptocurrency where creation and transfer of bitcoins is based on an open-source cryptographic protocol that is independent of any central autority.
Bitcoms can be transferred through a computer or smartphone without an intermediate financial institution.
If you do not have Bitcoins, you must exchange them, we recommended:
xxxxs://www.bitstamp.net
xxxxs://www.coinbase.com
Also see information about buying here.
xxxx://howtobuybitcoins.info
Send 0.5 BTC to Bitcoin address: 15PCcoNeo***
Also, you can directly exchange Bitcoins to this address. This is a private address associated with this order.
After 4-6 confirmations of your bitcoin transaction (takes up to 30 min), this software will automatically decrypt your files. Make sure that your internet connection active, and do not close this windows.
Private key will be destroyed on 31/12/2016
button 'Show files'
button 'Pay with Bitcoin'
Перевод текста на русский язык:
Ваши персональные файлы зашифрованы!
Bitcoin — это криптовалюта, в которой создание и передача биткоинов основано на криптографическом протоколе с открытым исходным кодом, не зависящем от централизованного управления.
Биткоины могут быть переданы через компьютер или смартфон без промежуточного финансового учреждения.
Если у вас нет биткоинов, вы должны обменять их, мы рекомендуем:
xxxxs://www.bitstamp.net
xxxxs://www.coinbase.com
Также смотрите информацию о покупке здесь.
xxxx://howtobuybitcoins.info
Отправьте 0,5 BTC на Bitcoin-адрес: 15PCcoNeo ***
Кроме того, вы можете напрямую обмениваться биткоинами по этому адресу. Это частный адрес, связанный с этим заказом.
После 4-6 подтверждения вашей Bitcoin-транзакции (занимает до 30 минут), эта программае автоматически дешифрует файлы. Убедитесь, что ваше интернет-соединение активно, и не закрывайте это окно.
Секретный ключ будет уничтожен 31/12/2016
Кнопка 'Show files'
Кнопка 'Pay with Bitcoin'
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.3gp, .abs, .aspx, .avi, .bac, .bak, .bmp, .db, .doc, .docm, .docx,
.dotm, .dotx, .eml, .gif, .jpeg, .jpg, .jpge, .htm, .html, .ldf, .loc, .log,
.mdf, .mkv, .pdf, .png, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm,
.pptx, .psd, .pst, .ptx, .pub, .qbb, .qbk, .qbmb, .qbmd, .qbx, .qic,
.quikcbooks, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .sln, .sql, .srf, .srw,
.txt, .wb2, .win, .wmv, .wpd, .wps, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx,
.xltm, .xltx, .xml, .zip (73 расширения).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр. Файлы, связанные с этим Ransomware:
cry.exe
<random>.exe
ReadMe.txt
/AppData/cryptolocker.exe
/AppData/cryptolocker2.exe
/AppData/encrypted.txt - список зашифрованных файлов
и другие.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Video review ID Ransomware Write-up * *
Thanks: GrujaRS Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
