понедельник, 1 мая 2017 г.

DeadSec-Crypto

DeadSec-Crypto Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,05 BTC, чтобы вернуть файлы. Оригинальное название: DeadSec-Crypto v2.1. Другое, указанное на исполняемом файле: WindowsApplication1. 
Замечено, что такое же второе название использовалось в других крипто-вымогателях, описанных в этом дайджесте (M4N1F3STOFakeWUCryptoSomware и др.)
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Зашифрованные файлы должны получать расширение .locked

Активность этого крипто-вымогателя пришлась на конец апреля 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста с экрана:
Porque recebi isso?
Você foi vitma de um ransomware e todos seus dados foram roubados e criptografados pela DeadSec todos arquivos estao com extensão .locked e com a hash SHA256SUM praticamente impossível de recuperar nos temos todos seus dados inclusive senhas, documentos e arquivos dentre outras coisas pessoais como Cartões e etc.
O que fazer?
Você precisara doar uma quantia de 0.05 Bitcoins que em Reais=R$100.00 para o Endereço abaixo, para doar a quantia você precisa comprar Bitcoins com dinheiro real em: https://blockchain.info/wallet/#/signup após enviar os bitcoins para o endereço, confirmaremos a transação e enviaremos uma chave para seu email e você tera seus arquivos e senhas
Você tem o prazo de: thecrackerOday@gmail.com
Chave: [...]
Endereço: 1Mx4Zgz5nYmFPPSUS6TbF2SfVP4xfcghBu
Caso nao envie a quantia em 1 Semana, vazaremos todos seus dados.
[Confirmar]
Link Label 1

Ошибка в тексте:
vitma - должно быть vitima (жертва), может стать характерным признаком для идентификации в будущем. 

Перевод записки на русский язык:
Почему я получил это?
Вы стали жертвой вымогателя и все ваши данные были украдены и зашифрованы DeadSec всех файлы с расширением .locked и хэш SHA256SUM. практически невозможно восстановить. У нас есть все данные, включая пароли, документы и файлы из других личных вещей, таких как банковские карты и и т.д.
Что делать?
Вам нужно перевести сумму в размере 0,05 Bitcoins, что в реалах = R $100,00 по указанному ниже адресу, чтобы заплатить сумму, на которую нужно купить биткоины за реальные деньги: https://blockchain.info/wallet/#/signup после отправки биткоинов в адрес, мы подтвердим транзакцию и отправим вам ключ на ваш email, и вы будете иметь ваши файлы и пароли
Для контакта: thecrackerOday@gmail.com
Ключ: [...]
Адрес: 1Mx4Zgz5nYmFPPSUS6TbF2SfVP4xfcghBu
Если не отправитt эту сумму в течение одной недели, потеряете все ваши данные.
[Подтверждение]
Link Label 1

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это должны были быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Но на самом деле применяется только тестовое шифрование файлов в специальной папке. Фактически только пугает. 

Файлы, связанные с этим Ransomware:
WindowsApplication1.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
thecracker0day@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *