четверг, 20 марта 2014 г.

CryptoDefense

CryptoDefense Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп от 500 и выше долларов или евро, чтобы вернуть файлы обратно. Через 4 дня сумма выкупа удваивается до 1000 и выше долларов. Активность этого криптовымогателя пришлась на февраль-март 2014 г., но периодически обнаруживаются новые вредоносные кампании. 

© Генеалогия: CryptoDefense. Начало >> клоны

Записки с требованием выкупа создаются в каждой папке с зашифрованными файлами и называются:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Может быть открыто следующее окно браузера с адресом: 
https://rj2bocejarqnpuhm.tor2web.org/[RANDOM ***], где жертве объясняется как оплатить выкуп в биткоинах. 

Содержание текстовой записки о выкупе:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software. 
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files. 
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/*** and follow the instructions. 
If https://rj2bocejarqnpuhm.onion.to/*** is not opening, please follow the steps below: 
IMPORTANT INFORMATION: 
Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/*** 
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/***
Your Personal CODE(if you open site directly): ***

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на компьютере зашифрованы с помощью CryptoDefense Software.
Шифрование было сделано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Для расшифровки файлов вам надо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит вам расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ через месяц. После этого никто и никогда не сможет восстановить файлы.
Для того, чтобы расшифровать файлы, откройте свою персональную страницу на сайте https://rj2bocejarqnpuhm.onion.to/*** и следуйте инструкциям.
Если https://rj2bocejarqnpuhm.onion.to/*** не открывается, пожалуйста, выполните следующие действия:
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: https://rj2bocejarqnpuhm.onion.to/***
Ваша личная страница (для TorBrowser): rj2bocejarqnpuhm.onion / ***
Ваш личный код (если вы открываете сайт напрямую): ***

Распространяется с помощью email-спама и вредоносных вложений, с помощью ссылок на вредоносные сайты, содержащие эксплойт.

Список файловых расширений, подвергающихся шифрованию:
.asp, .ass, .ava, .avi, .bay, .bmp, .c, .cer, .cpp, .crt, .cs, .db, .der, .doc, .dtd, .eps, .gif, .h, .hpp, .jpg, .js, .key, .lua, .m, .mp3, .mpg, .msg, .obj, .odt, .pas, .pdb, .pdf, .pem, .pl, .png, .ppt, .ps, .py, .raw, .rm, .rtf, .sql, .swf, .tex, .txt, .wb2, .wpd, .xls (48 расширений).

CryptoDefense создает следующую запись реестра, чтобы сохранить путь всех зашифрованных файлов: HKEY_CURRENT_USER\Software\[RANDOM CHARACTERS]\PROTECTED 

CryptoDefense создает следующие записи в реестре, чтобы запускаться каждый раз при запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%AppData%\[RANDOM CHARACTERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" =" C:\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe"

CryptoDefense удаляет тома теневых копий файлов, отключает службу восстановления Windows, службу восстановления после ошибок при запуске, систему обеспечения безопасности. 

Файлы, связанные с CryptoDefense Ransomware:
%UserProfile%\Desktop\HOW_DECRYPT.URL
%UserProfile%\Desktop\HOW_DECRYPT.TXT
%UserProfile%\Desktop\HOW_DECRYPT.HTML
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

Записи реестра, связанные с CryptoDefense Ransomware:
HKEY..\..\{CLSID Path}
HKEY_CURRENT_USER\Software\[unique id]
HKEY_CURRENT_USER\Software\[unique id] "finish" = "1"
HKEY_CURRENT_USER\Software\[unique id]\PROTECTED

Сетевые подключения и связи:
machetesraka.com
markizasamvel.com
armianazerbaijan.com
allseasonsnursery.com

BTC:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (первая транзакция 18 марта 2014 года)

19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (первая транзакция 28 февраля 2014 года)



Степень распространённости: высокая, включая клоны. 
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton