понедельник, 12 декабря 2016 г.

PayDay

PayDay Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп R$950 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 120 часов (5 суток). Название оригинальное, указано в заголовке html-страницы.
R$ - это бразильский реал (денежная единица Бразилии).  

© Генеалогия: HiddenTear >> PayDay 

К зашифрованным файлам добавляется расширение .sexy

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !!!!!ATENÇÃO!!!!!.html
PayDay Ransomware !!!!!ATENÇÃO!!!!!.html шифровальщик
Записка о выкупе в html-формате

Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.
O que fazer?
Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:
1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt
O que é Bitcoin:
Importante:
1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ;)

Перевод записки на русский язык:
Ваши файлы были похищены!
Все документы, базы данных, загрузки, фото и другие важные файлы были зашифрованы с алгоритмом AES (это шифрование, используемуе правительством США) с буквенно-цифровым паролем из 150 символов, генерируемых для данного компьютера и отправлены на секретный сервер в Интернете, где только у меня есть доступ.
Что делать?
Для получения этого пароля и декриптора файлов, вам придется заплатить сумму R$950,00 в BTC (Bitcoin). Для оплаты и получения пароля следуйте этому небольшому руководству:
1. Создайте BTC портфель здесь: *** blockchain.info/***
2. Купите R$950,00 BTC наличными деньгами: ***
3. Отправьте купленные BTCs на адрес: *****
4. Проследите передачу: *** blockchain.info/address/***
5. После подтверждения оплаты, пришлите мне по email запрашиваемый пароль: CATSEXY@PROTONMAIL.COM
6. После этого отправьте архив, содержащий два файла: один Decrypter в .exe и пароль в .txt
Что такое Bitcoin:
Важно:
1. Никто не может помочь вам, только я!
2. У вас есть только 120 часов (5 дней), чтобы сделать платеж, иначе я удалю пароль.
3. Бесполезно ставить / обновлять Антивирус, форматировать компьютер, делать заявление в полицейский участок и т.д.
4. Ваши файлы могут быть расшифрованы только после оплаты.
5. После того, как вы расшифруете ваши файлы, переформатируйте компьютер, установите хороший Антивирус и будьте более осторожны, когда кликаете ;)
PayDay Ransomware
Эпатажный фон записки о выкупе

Распространяется с помощью email-спама и вредоносных вложений (random.pdf.exe), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрованию подвергаются файлы на Рабочем столе и в Загрузках. 
PayDay Ransomware

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
!!!!!ATENÇÃO!!!!!.html
hidden-tear.exe
(random.pdf.exe)
Фальш-имя: Adobe Reader

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***acclivitous-operabi.000webhostapp.com/write.php&info=***
CatSexy@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PayDay)
 Write-up
 *
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *