Если вы не видите здесь изображений, то используйте VPN.

понедельник, 12 декабря 2016 г.

PayDay

PayDay HT Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп R$950 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 120 часов (5 суток). Название оригинальное, указано в заголовке html-страницы.
R$ - это бразильский реал (денежная единица Бразилии).  

© Генеалогия: HiddenTear >> PayDay HT

К зашифрованным файлам добавляется расширение .sexy

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !!!!!ATENÇÃO!!!!!.html
PayDay Ransomware !!!!!ATENÇÃO!!!!!.html шифровальщик
Записка о выкупе в html-формате

Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.
O que fazer?
Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:
1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt
O que é Bitcoin:
Importante:
1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ;)

Перевод записки на русский язык:
Ваши файлы были похищены!
Все документы, базы данных, загрузки, фото и другие важные файлы были зашифрованы с алгоритмом AES (это шифрование, используемуе правительством США) с буквенно-цифровым паролем из 150 символов, генерируемых для данного компьютера и отправлены на секретный сервер в Интернете, где только у меня есть доступ.
Что делать?
Для получения этого пароля и декриптора файлов, вам придется заплатить сумму R$950,00 в BTC (Bitcoin). Для оплаты и получения пароля следуйте этому небольшому руководству:
1. Создайте BTC портфель здесь: *** blockchain.info/***
2. Купите R$950,00 BTC наличными деньгами: ***
3. Отправьте купленные BTCs на адрес: *****
4. Проследите передачу: *** blockchain.info/address/***
5. После подтверждения оплаты, пришлите мне по email запрашиваемый пароль: CATSEXY@PROTONMAIL.COM
6. После этого отправьте архив, содержащий два файла: один Decrypter в .exe и пароль в .txt
Что такое Bitcoin:
Важно:
1. Никто не может помочь вам, только я!
2. У вас есть только 120 часов (5 дней), чтобы сделать платеж, иначе я удалю пароль.
3. Бесполезно ставить / обновлять Антивирус, форматировать компьютер, делать заявление в полицейский участок и т.д.
4. Ваши файлы могут быть расшифрованы только после оплаты.
5. После того, как вы расшифруете ваши файлы, переформатируйте компьютер, установите хороший Антивирус и будьте более осторожны, когда кликаете ;)
PayDay Ransomware
Эпатажный фон записки о выкупе

Распространяется с помощью email-спама и вредоносных вложений (random.pdf.exe), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрованию подвергаются файлы на Рабочем столе и в Загрузках. 
PayDay Ransomware

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
!!!!!ATENÇÃO!!!!!.html
hidden-tear.exe
(random.pdf.exe)
Фальш-имя: Adobe Reader

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***acclivitous-operabi.000webhostapp.com/write.php&info=***
CatSexy@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PayDay)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *