четверг, 9 февраля 2017 г.

DynA-Crypt

DynA-Crypt Ransomware

DynA CryptoLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью отдельной программы AES, а затем требует выкуп в $50 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: DynAmite. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа выступает экран блокировки. 
Сообщение о выкупе имеет графический интерфейс, требует $50 в биткоинах на BTC-адрес. 


Содержание записки о выкупе:
DynA-Crypt
All your important files are encrypted
Your computer has been locked
If you want unlock send 50 $ BTC
To this wallet if not files will be
Randomly deleting every 5 minutes
1JzypNfNnJRWRFJFxNo5qAt13vYmx*****

Перевод записки на русский язык:
DynA-Crypt
Все ваши важные файлы зашифрованы
Ваш компьютер был блокирован
Если хотите разблок пришлите 50 $ BTC
На этот кошелёк, если нет, то файлы будут
Выборочно удаляться каждые 5 минут
1JzypNfNnJRWRFJFxNo5qAt13vYmx*****

Распространяется по форумам, может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


 

Настраивается под себя, может блокировать браузеры, отключать защиту. 
Разработчик нашпиговал своё детище различным дополнительным функционалом, множеством автономных исполняемых файлов и скриптов PowerShell. Нужно или не нужно, оно там есть. 
Имеет также функционал трояна-шпиона и бэкдора: записывает нажатия клавиш, создает скриншоты, ворует информацию из приложений пользователей (Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak, Thunderbird и др.), пытается установить удаленное соединение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .avi, .csv, .doc, .docx, .jpeg,.jpg, .m4a, .mdb, .mkv, .mov, .mp3, .mp4, .msg, .odt, .pdf, .png, .ppt, .pptx, .pst, .rar, .xls, .xlsx, .zip (24 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы и папки, связанные с этим Ransomware:
<random>.exe
picturespack.exe
%AppData%\Local\dyna\loot\ - место для сбора данных с ПК и помещения потом в архив loot.zip

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Attention! It can be decrypted!
For decoding, please contact Michael Gillespie

Внимание! Это дешифруется!
Для дешифровки пишите Майклу Джиллеспи
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DynA-Crypt)
 Write-up
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *