понедельник, 15 мая 2017 г.

DarkoderCryptor

DarkoderCryptor Ransomware

DarkoderEncript0r Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальные названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor. Они есть в записках, в коде, на экране блокировки. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DarkoderCryptor

К зашифрованным файлам добавляется расширение .DARKCRY (или .darkcry)

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
@ READ-ME - DARKODER ENCRYPT0R @.txt
@ READ-ME - DARKODER ENCRYPT0R @.html


Изображение, отделенное от HTML-записки и скриптов

Внешний вид записки с очисткой от скриптов

Текстовая записка о выкупе (реконструкция)

Записка загружаются на зараженный компьютер с временного адреса сайта sendspace.com. HTML-записка содержит скрипты, загружаемые извне, выполнение которых небезопасно. 

Ещё одним информатором жертвы выступает экран блокировки с кнопками.
Экран блокировки с заголовком DarkoderCrypt0r

Содержание записок о выкупе:
Darkoder Encript0r
What Happened to My Computer?
Your important files are encrypted.
 Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
 Maybe you are busy looking for a way to recover your files, but do not waste your time.
 Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
 You can decrypt some of your files for free. Try now by clicking <Decrypt>.
 But if you want to decrypt all your files, you need to pay.
 You only have 3 days to submit the payment. After that the price will be doubled.
 Also, if you don't pay in 7 days, you won't be able to recover your files forever.
 We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About Bitcoin>.
 Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
 And send the correct amount to the address specified in this window.
 After your payment, click <Check Payment>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
 Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>
===
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 

Перевод записок на русский язык:
Darkoder Encript0r
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, базы данных и другие файлы больше недоступны, т.к. они были зашифрованы.
Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы никогда не сможете восстановить файлы.
У нас будут бесплатные способы для пользователей, которые так бедны, что не заплатят за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите <About Bitcoin>.
Проверьте текущую цену биткоинов и купите биткоины. Для дополнительной информации нажмите <How to buy Bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После вашего платежа нажмите <Check Payment>. Лучшее время для проверки: 9:00 - 11:00 утра GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
===
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ-ME - DARKODER ENCRYPT0R @.html
@ READ-ME - DARKODER ENCRYPT0R @.txt
WindowsFormsApplication1.exe
@DaKryEncryptor@.exe
@ DARCODER ENCRYPTOR @.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *