вторник, 28 июня 2016 г.

EduCrypt, HiddenTear 2.0

EduCrypt Ransomware 

HiddenTear 2.0 Ransomware 

(шифровальщик-вымогатель, шифровальщик-обучатель)



  Этот крипто-вымогатель шифрует файлы с помощью AES со случайным именем, а затем предлагает загрузить декриптер для бесплатной дешифровки. 

Зашифрованные файлы получают расширение .isis 

  HiddenTear 2.0 — это оригинальное название вымогателя, но некоторые исследователи предпочли назвать его EduCrypt, считая его "обучающим вымогателем" (Eduware), что само по себе абсурдно, какое это обучающее пособие... Но в ID Ransomware этот вымогатель теперь записан как EduCrypt.

О шифровальщиках-обучателях читайте в Глоссарии

  Шифровальщик HiddenTear 2.0 основан на урезанной версии оригинального Hidden Tear. Он имеет ограниченный набор папок, в которых шифрует файлы, небольшое количество целевых файловых расширений и не обменивается данными с C&C-сервером.

При запуске криптовымогателя шифруются файлы в следующих папках:
%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (41 расширение).

По окончании шифрования на рабочем столе создается файл-записка README.txt. Там сообщается о том, что случилось с файлами жертвы и даётся ссылка на дешифратор. 
Записка о выкупе
Декриптер от вымогателей

Содержание записки от вымогателей:
Well hello there, seems you have a virus! Well you are going to get the decryptor which is here http://www.filedropper.com/decrypter_1 Don't 
Download Random Shit On The Internet. A Hidden .txt File Has Been Created With The Decrypt Password! Find It!..

Перевод на русский язык:
Ну привет, кажется, у тебя есть вирус! Ну ты можешь получить декриптор, который здесь http://www.filedropper.com/decrypter_1 
Не качай всякое дерьмо из Интернета. Был создан скрытый txt-файл DecryptPassword.txt! Найди его!..

Пароль для дешифрования HDJ7D-HF54D-8DN7D сохраняется в "Documents" (Мои документы) в скрытый файл "DecryptPassword.txt". Он является единым для всех пострадавших от этой программы-вымогателя.
Файл с паролем

Замечено распространение этого вредоноса с загрузкам из Интернета, с иконкой Skype в стиле оригами и названием файла "skypetool.exe". 

Пострадавшим лучше НЕ использовать декриптор от вымогателей, который ищет только файлы с расширением .locked, запрограммированным в оригинальном HiddenTear, и не ищет файлы с расширением .isis, которое использует данный криптовымогатель. 

Разумнее использовать уже проверенный универсальный дешифровщик от Майкла Джиллеспи, в котором можно добавить любое расширение.




Рекомендуется сначала попробовать дешифровать 1-2 файла, чтобы получить положительный результат. И лишь потом указать на другие папки с зашифрованными файлами. 


 Read to links: 
 Write-up on BC
 ID Ransomware (ID as EduCrypt)
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


Remove HiddenTear 2.0 Decrypt EduCrypt Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton