вторник, 19 июля 2016 г.

HolyCrypt Ransomware


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES и требует уплатить выкуп, чтобы получить секретный ключ дешифрования и вернуть файлы обратно. Срок уплаты выкупа подозрительно короткий, всего 24 часа. Вымогатель известен с мая 2016. HolyCrypt написан на Python и является 64-битным Ransomware. Название получил от встроенного сценария holycrypt-v0.3.py.


Remove HolyCrypt Decrypt HolyCrypt Decode Restore files Recovery data Удалить HolyCrypt Дешифровать Расшифровать Восстановить файлы

К зашифрованным файлам добавляется приставка (encrypted). Пример на картинке. 

Записка о выкупе: 
Attention!!! To restore information email technical support send 3 encrypted files HolyCrypt@aol.com

Синхронный перевод на русский:
Внимание!!! Для возврата информации почта технической поддержки отправить 3 зашифрованных файла HolyCrypt@aol.com

Да, какой-то несвязный текст. 

  Полное вымогательское сообщение написано на скринлоке — изображении alert.jpg, встающем обоями рабочего стола. 

Содержание текста с изображения: 
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
The server will eliminate the key after 24h.
Open http://test_ransonware.onion.link and follow the instruction for the payment

Обратите внимание в тексте есть опечатка - слово ypur, вместо your. 

Перевод на русский язык: 
Ваш компьютер заблокирован!
Ваши документы, фото, базы данных и другие важные файлы заблокированы сильным шифрованием и уникальным ключом, созданным для этого компьютера. Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не расшифрует ypur [ваши] файлы, пока не оплатите и не получите секретный ключ.
Сервер уничтожит ключ через 24 часа.
Откройте http://test_ransonware.onion.link и следуйте инструкциям для оплаты

Шифровальщик шифрует только файлы, находящиеся в директории %USERPROFILE% 

Список файловых расширений, подвергающихся шифрованию:
.txt, .doc, .docx, .xls, .xlsx, .ppt, pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx , .html, .xml, psd


Детект на VirusTotal >>>

Степень распространенности: пока не определена
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *