вторник, 28 июня 2016 г.

HiddenTear 2.0

HiddenTear 2.0 (EduCrypt) Ransomware 

(шифровальщик-вымогатель, шифровальщик-обучатель)


  Этот крипто-вымогатель шифрует файлы с помощью AES со случайным именем, а затем предлагает загрузить декриптер для бесплатной дешифровки. 

Зашифрованные файлы получают расширение .isis 


Remove HiddenTear 2.0 Decrypt EduCrypt Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы

  HiddenTear 2.0 — это оригинальное название вымогателя, но некоторые исследователи предпочли назвать его EduCrypt, считая его "обучающим вымогателем", что само по себе абсурдно. 

О шифровальщиках-обучателях читайте в Глоссарии

  Шифровальщик HiddenTear 2.0 основан на урезанной версии оригинального Hidden Tear. Он имеет ограниченный набор папок, в которых шифрует файлы, небольшое количество целевых файловых расширений и не обменивается данными с C&C-сервером.

При запуске криптовымогателя шифруются файлы в следующих папках:
%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (41 расширение).

По окончании шифрования на рабочем столе создается файл-записка README.txt. Там сообщается о том, что случилось с файлами жертвы и даётся ссылка на дешифратор. 
Записка о выкупе
Декриптер от вымогателей

Содержание записки от вымогателей:
Well hello there, seems you have a virus! Well you are going to get the decryptor which is here http://www.filedropper.com/decrypter_1 Don't 
Download Random Shit On The Internet. A Hidden .txt File Has Been Created With The Decrypt Password! Find It!..

Перевод на русский язык:
Ну привет, кажется, у тебя есть вирус! Ну ты можешь получить декриптор, который здесь http://www.filedropper.com/decrypter_1 
Не качай всякое дерьмо из Интернета. Был создан скрытый txt-файл DecryptPassword.txt! Найди его!..

Пароль для дешифрования HDJ7D-HF54D-8DN7D сохраняется в "Documents" (Мои документы) в скрытый файл "DecryptPassword.txt". Он является единым для всех пострадавших от этой программы-вымогателя.
Файл с паролем

Замечено распространение этого вредоноса с загрузкам из Интернета, с иконкой Skype в стиле оригами и названием файла "skypetool.exe". 

Пострадавшим лучше НЕ использовать декриптор от вымогателей, который ищет только файлы с расширением .locked, запрограммированным в оригинальном HiddenTear, и не ищет файлы с расширением .isis, которое использует данный криптовымогатель. 

Разумнее использовать уже проверенный универсальный дешифровщик от Майкла Гиллеспи, в котором можно добавить любое расширение.




Рекомендуется сначала попробовать дешифровать 1-2 файла, чтобы получить положительный результат. И лишь потом указать на другие папки с зашифрованными файлами. 


 Read to links: 
 Write-up on BC
 ID Ransomware (ID as EduCrypt)
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *