Если вы не видите здесь изображений, то используйте VPN.

суббота, 29 апреля 2017 г.

CryptoMix Wallet

Wallet Ransomware

CryptoMix-Wallet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Solheim&Sørensen AS и monsendas.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMixCryptoMix-Wallet

К зашифрованным файлам добавляется расширение .wallet, но оно используется как окончание составного расширения.
Пример зашифрованного файла: 
GBBYCNPX7M.[shield0@usa.com].ID[*****].wallet

!!! Да, теперь и семья CrypoMix Ransomware стала использовать это расширение. 

Активность этого крипто-вымогателя пришлась на конец апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: #_Restoring_files_#.txt

Содержание записки о выкупе:
All your files haue been encrypted!
All your files haue been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com
Write this ID in the title of your message *****
You haue to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
(databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. Vou haue to register, click 'Buy bitcoins', and select the seller by payment method and price.
http://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://wviw.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК. Если вы хотите восстановить их, напишите нам на email-адрес shield0@usa.com
Напишите этот ID в заголовке вашего сообщения *****
Вы должны платить за расшифровку биткоинами. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть меньше 10 МБ (не архивирован), а файлы не должны содержать ценной информации.
(базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Чтобы зарегистрироваться, нажмите 'Buy bitcoins' и выберите метод оплаты и цену.
http://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать данные с помощью чужого программного обеспечения, это может привести к полной потере данных.
Расшифровка ваших файлов с помощью третьих сторон может привести к увеличению цены (они добавят сумму к нашей), или вы можете стать жертвой мошенничества.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
monsendas.exe
#_Restoring_files_#.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
185.125.32.14/check/gif.php***
Email: shield0@usa.com
admin@hoist.desi
3048664056@qq.com
patrik.swize@gmx.de
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptoMix Wallet)
 Write-up, Topic
 * 
 Thanks: 
 R0bert R0senb0rg‏
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *