четверг, 31 марта 2016 г.

CryptoHasYou

CryptoHasYou Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. 

К зашифрованным файлам добавляется расширение .enc

Этимология названия:    Название крипто-вымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия крипто-вымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили на .enc.   

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 
Записка о выкупе, TXT-версия

Записка о выкупе, BMP-версия

  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения: .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 

По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает крипто-вымогатель буквально всеядным. 

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 


Степень распространённости: средняя
Подробные сведения собираются.

Ссылки:
Тема поддержки на BC

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *