суббота, 14 января 2017 г.

CryptoSweetTooth

CryptoSweetTooth Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, в переводе на русский "крипто-сладкоежка". В записке о выкупе написано как Crypto-SweetTooth. Фальш-имя: Bitcoin. Разработчик: Santiago. Краткое название: CryptoST. 

© Генеалогия: HiddenTear >> CryptoSweetTooth

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на испаноязычных и аргентинских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANTE_LEER.html
RECUPERAR_ARCHIVOS.html

Содержание записки о выкупе:
SUS ARCHIVOS PERSONALES HAN SIDO CIFRADOS POR Crypto-SweetTooth
Sus fotos, videos, documentos y base de datos han sido cifrados por un poderoso algoritmo utilizando una clave única generada por esta computadora.
¿Cómo recuperar los archivos?
Para recuperar sus archivos cifrados y recibir instrucciones de seguridad para que esto no le vuelva a ocurrir, usted deberá realizar un pago de 0.5BTC y enviarlos a la siguiente dirección: ILLEoST***
Una vez realizado el pago usted deberá enviar un correo electrónico a con la dirección bitcoin que usted uso para enviar los fondos. Una vez verificado y confirmado se le responderá con el programa y contraseña para desencriptar los archivos.
¿Cómo comprar Bitcoins?
Si usted se encuentra en Argentina podrá comprar Bitcoins en las siguientes empresas:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
luego de haber realizado la compra desde cualquiera de las paginas mencionadas arriba, debera mandar los mismos a la direccion Bitcoin especificada al principio, marcada en color ROJO.

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы с помощью Crypto-SweetTooth
Фото, видео, документы и базы данных были зашифрованы с помощью мощного алгоритма с помощью уникального ключа, сгенерированного этим компьютером.
Как восстановить файлы?
Чтобы восстановить ваши зашифрованные файлы и получить инструкции по безопасности чтобы этого не повторилось, вы должны произвести оплату 0.5 BTC и отправить их по следующему адресу: ILLEoST***
После оплаты вы должны отправить нам по email адрес, который вы использовали для отправки Bitcoin-средств. После проверки и подтверждения оплаты, мы ответим с программой и паролем для расшифровки файлов.
Как купить Bitcoins?
Если вы находитесь в Аргентине вы можете купить Bitcoins в следующих компаниях:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
После того, как сделали покупку на любой из страниц выше, следует отправить их на Bitcoin-адрес, указанный в начале, отмеченный красным цветом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для работы шифровальщика требуется наличие в системе .NET Framework 4.5.2. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
Bitcoin.exe
bitcoin_factory_v1.0.2.exe
CryptoSweetTooth.exe
\Desktop\IMPORTANTE_LEER.html
\Desktop\IMPORTANTE_LEER2.html
\Desktop\IMPORTANTE_LEER3.html

\Desktop\IMPORTANTE_LEER4.html
\Documents\RECUPERAR_ARCHIVOS.html
\Pictures\RECUPERAR_ARCHIVOS.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***healty-site.000webhostapp.com/getinfo.php (153.92.11.86:80 - Германия)
cryptosweettooth@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *