Если вы не видите здесь изображений, то используйте VPN.

четверг, 22 июня 2017 г.

PSCrypt

PSCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2500 гривен в BTC, чтобы вернуть файлы. Оригинальное название: PSCrypt. Идентифицируется сервисом IDR в составе семейства GlobeImposter 2.0. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter 2.0 > PSCrypt


К зашифрованным файлам добавляется расширение .pscrypt

Активность этого крипто-вымогателя пришлась на вторую половину июня 2017 г. Ориентирован на украинских пользователей, что не мешает распространять его по всему миру. 
Сервис ID Ransomware зафиксировал пострадавших из Украины, России и Нидерландов. 

Записка с требованием выкупа называется: Paxynok.html (от слова "рахунок" - это "счёт" на украинском).
PSCrypt

Содержание записки о выкупе:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШІ ФАЙЛИ ТИМЧАСОВО НЕДОСТУПНІ.
ВСІ ВАШІ ДАНІ БУЛИ ЗАШІВРОВАННИ!
Для відновлення даних потрібно дешифратор.
Щоб отримати дешифратор, ви повинні:
Оплатити послуги розшифровки:
Оплата відбувається за коштами біткойн (BTC):
Вартість послуги складає 2500 гривень
Оплату можна провести в терміналі IBox.
Інструкція по оплаті:
1. Знайти найближчий термінал Айбокс Айбокс
за допомогою рядка пошуку знайти сервіс «Btcu.biz».
2. Ввести свій номер телефону.
3. Внести суму 2500 грн
4. Роздрукувати і зберегти чек.
5. Зайти на сайт btcu.biz.
6. У розділі «Купити» => «За готівку в терміналі» ввести код з чека (підкреслять червоним), ввести капчу, ознайомитися і погодитися з Умовами використання і натиснути кнопку «Оплатити». 
---
Переконатися, що код прийнятий і сума збігається з внесеної в термінал.
7. Після того, як код був коректно прийнятий системою, натисніть «Далі» для вибору способу отримання коштів.
---
8. Виберіть розділ «Поповнити ВТС-адреса», введіть адресу - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY і капчу, натисніть кнопку «Відправити».
---
9. Після оплати:
Надіслати скріншот платежу на systems64x@tutanota.com
У листі вкажіть свій особистий ідентифікатор (подивіться на початок цього документа).
10. Після отримання дешифратора і інструкцій, зможете продожам роботу.
Додаткова інформація:
Програма можемо дешифрувати один файл як доказ того, що у неї є декодер. Для цього необхідно надіслати зашифрований файл на пошту: systems64x@tutanota.com 
Увага!
Ні оплати = Немає розшифровки
Ви дійсно отримуєте дешифратор після оплати
Не намагайтеся видалити програму або запустити антивірусні інструменти
Спроби самодешіфрованія файлів приведуть до втрати ваших даних
Декодери інших користувачів не сумісні з вашими даними, оскільки унікальний ключ шифрування кожного користувача.
З повагою.

Примерный перевод записки на английский язык (in English):
YOUR PERSONAL IDENTIFIER
13 69 9B 5F 1E ***
YOUR FILES ARE TEMPORARILY UNAVAILABLE.
ALL YOUR DATA HAS BEEN ENCRYPTED!
To recover data you need decryptor.
To get the decryptor you should:
The payment is made from bitcoin (BTC):
The cost of the service is 2500 UAH
Payment can be made in the IBox terminal.
Payment instruction:
1. Find the nearest Aybox Aibox terminal
Use the search bar to find the service "Btcu.biz".
2. Enter your phone number.
3. Make the amount of 2500 UAH.
4. Print and save the receipt.
5. Login to btcu.biz.
6. In the "Buy" => "For cash in the terminal" section, enter the code from the check (underlined in red), enter the captcha, read and agree to the Terms of Use and click the "Pay" button.
check
Make sure that the code is accepted and the amount is the same as that entered in the terminal.
7. After the code was correctly accepted by the system, click "Next" to select the method of receiving funds.
Site
8. Select the section "Add to the BTC address", enter the address - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY and captcha, press the "Send" button.
Site2
9. After payment:
Send a screenshot of the payment to systems64x@tutanota.com
In the letter, enter your personal identifier (see the beginning of this document).
10. After receiving the decoder and instructions, you can continue to work.
Additional Information:
The program can decrypt one file as proof that it has a decoder. To do this, send an encrypted file to the mail: systems64x@tutanota.com
Attention!
No payment = No decryption
You really get the decoder after payment
Do not try to remove the program or run antivirus tools
Attempts to self-decrypt files will result in the loss of your data
Other users' decoders are not compatible with your data, as the unique encryption key for each user.
Regards.

Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШИ ФАЙЛЫ ВРЕМЕННО НЕДОСТУПНЫ.
ВСЕ ВАШИ ДАННЫЕ БЫЛИ ЗАШИФРОВАНЫ!
Для восстановления данных нужен дешифратор.
Чтобы получить дешифратор, вы должны:
Оплатить расшифровку:
Оплата делается из средств биткоин (BTC):
Стоимость услуги составляет 2500 гривен
Оплату можно сделать в терминале IBox.
Инструкция по оплате:
1. Найти ближайший терминал Айбокс Айбокс
с помощью строки поиска найти сервис «Btcu.biz».
2. Ввести свой номер телефона.
3. Внести сумму 2500 гривен.
4. Распечатать и сохранить чек.
5. Войти в btcu.biz.
6. В разделе «Купить» => «За наличные в терминале" ввести код с чека (подчеркнут красным), ввести капчу, ознакомиться и согласиться с Условиями использования и нажать кнопку «Оплатить».
---
Убедиться, что код принят и сумма совпадает с внесенной в терминал.
7. После того, как код был корректно принят системой, нажмите «Далее» для выбора способа получения средств.
---
8. Выберите раздел «Пополнить ВТС-адрес», введите адрес - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY и капчу, нажмите кнопку «Отправить».
---
9. После оплаты:
Отправьте скриншот платежа на systems64x@tutanota.com
В письме укажите свой личный идентификатор (смотрите в начале этого документа).
10. После получения дешифратора и инструкций, сможете продолжить работу.
Дополнительная информация:
Программа можем дешифровать один файл как доказательство того, что у нее есть декодер. Для этого необходимо прислать зашифрованный файл на почту: systems64x@tutanota.com 
Внимание!
Нет оплаты = Нет расшифровки
Вы действительно получите дешифратор после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, поскольку уникальный ключ шифрования у каждого пользователя.
С уважением.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paxynok.html
wmodule.exe
<random>.exe
<random>.tmp

Расположения:
%TEMP%\<random>.tmp
\AppData\Roaming\Microsoft\random\<random>.exe
\User_folders\Paxynok.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systems64x@tutanota.com
systems32x@gmail.com
BTC: 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PSCrypt)
 Write-up, Topic of Support
 Video review
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Alex Svirid
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *