четверг, 16 июня 2016 г.

DEDCryptor

DEDCryptor Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 + RSA для защиты пароля, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. Ключ дешифрования будет хранится только 24 часа. Основан на конструкторе EDA2. 

© Генеалогия: EDA2 >> DEDCryptor

  По некоторым сведениям, пострадавшим россиянам (или написавшим вымогателям на русском языке) ключ дешифрования предоставляется бесплатно. 

  К зашифрованным файлам добавляется расширение .ded. Например, файл TestDoc.xlsx, когда будет зашифрован, станет TestDoc.xlsx.ded. 

  Распространяется с помощью email-спама с вредоносным вложением в виде испорченного DOCX-файла. Тема письма может быть различной: от счета за оплату или банковского уведомления, до простого объявления. Причем, в письме используются оригинальные логотипы и фирменные изображения. 


Не любопытствуйте с письмами, это вам дорого обойдется! 

  DEDCryptor не оставляет текстовых записок с требованием выкупа, вместо этого в качестве обоев рабочего стола встает заготовленное изображение ded.png с короткими текстовыми сообщениями на русском и английском языках, которое и сообщает пользователю о том, что произошло и что нужно вымогателям. Вымогатели надели на себя образ злого Санты, а картинка гуляла по Интернету и раньше. 

  Контактный email-адрес вымогателей: dedcrypt@sigaint.org

 DEDCryptor шифрует только набор стандартных форматов документов, изображений и видео, которые имеют размер не больше 50 мегабайт. 

Список файловых расширений, подвергающихся шифрованию:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf

Шифруются только файлы, находящиеся на Рабочем столе в рамках текущей сессии. 

Файлы, связанные с DEDCryptor:
%UserProfile%\ded.png

Информация получена с BP.

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

1 комментарий:

  1. Комментарий от 17 июня (был удален автором)
    """восстановить файлы стандартными средствами windows не удалось, пришлось платить так как очень много нужной информации зашифровалось. После вскрыл exe-шник и увидел, что все теневые копии данный шифровальщик удаляет и к тому же поднимает еще и прокси на компьютере. Будьте внимательны """

    ОтветитьУдалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *