среда, 6 сентября 2017 г.

HkCrypt

HkCrypt Ransomware
Hacked Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Hk Inc. На файле написано: Hk Inc.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hacked

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных, испаноязычных, итальянских и турецких пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа написаны на четырёх языках: английском, итальянском, испанском и турецком.
@readme_English.txt
@Leggimi_decrypt_Italian.txt
@Readme_Spanish.txt
How_to_decrypt_files.txt


Другим информатором жертвы выступает экран блокировки.


Содержание записки о выкупе:
All of your files were protected by a strong encryption with RSA4096 
What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp
How can i get my files back ?
the only way to restore your files ...
So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data you better not waste your time, because there is no other way to get your files, except make a payment
What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 0.5 BTC to address: 131mixvnmnijg1lDP3ZrTTakx3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at payment.hkdecrypt@mail.ru
5. Write subject of your mail with : HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)

Перевод записки на русский язык:
Все ваши файлы были защищены сильным шифрованием с помощью RSA4096
Что случилось с моими файлами?
Расшифровка ваших файлов возможна только с помощью закрытого ключа и декриптера
Как я могу вернуть свои файлы?
единственный способ восстановить ваши файлы ...
Итак, вы можете выбрать два способа:
1- дождаться чуда и удвоить цену
2- или восстановить ваши данные простым способом, если у вас правда ценные данные, вам лучше не тратить время, потому что нет другого способа получить ваши файлы, кроме оплаты
Что я должен делать дальше ? Купить ключ дешифрования
1. Купить биткоины (https://blockchain.info)
2. Отправить сумму в 0,5 BTC по адресу: 131mixvnmnijg1lDP3ZrTTakx3qJLpb675o
3. Для подтверждения транзакции потребуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на адрес payment.hkdecrypt@mail.ru
5. Напишите тему вашего письма: HACKED
6. Напишите содержимое вашего письма: - Восстановите мои файлы биткоин-платёж: (ID ВАШЕЙ БИТКОИН-ТРАНЗАКЦИИ)


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Пока жертва видит перед собой на экране монитора фальшивую заставку "обновление Windows", шифровальщик делает своё дело. 
Фальшивый экран обновлений Windows

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@readme_English.txt
@Leggimi_decrypt_Italian.txt
@Readme_Spanish.txt
How_to_decrypt_files.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: payment.hkdecrypt@mail.ru
BTC: 131mixvnmnijglDPJZrTTakX3qJLpb675o
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hacked)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *