пятница, 7 июля 2017 г.

DCry

DCry Ransomware

DCry 2.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, чтобы вернуть файлы. Оригинальное название Не указано. На файле написано: Cryptor.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dcry

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt
Запиской с требованием выкупа также выступает диалоговое сообщение, сделанное с помощью скрипта VBScript с функцией MsgBox.

Содержание записки о выкупе:
Files has been encrypted. 
If you want to decrypt, please, write me to e-mail: bbqb@protonmail.com
Your key: 
*****

Перевод записки на русский язык:
Твои файлы зашифрованы.
Если хочешь дешифровать, пожалуйста, пиши мне на e-mail: bbqb@protonmail.com
Твой ключ: 
*****

Содержание сообщения из MsgBox:
Your files is crypted. 
If you want to encypt, please, write me to e-mail: bbqb@protonmail.com
Your key: *****

Перевод сообщения из MsgBox:
Твои файлы зашифрованы.
Если хочешь шифровать, пиши мне на email: bbqb@protonmail.com
Твой ключ: *****

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
Cryptor.exe
message.vbs

Расположения:
C:\Windows\message.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bbqb@protonmail.com
***s7c4wrcmzgbtldbs.onion.cab
xxxxs://s7c4wrcmzgbtldbs.onion.cab/receiver.php?value=
xxxx://www.indyproject.org/
62.138.11.6: 443 - Германия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 24 июля 2017: 
Пост в Твиттере >>
Расширение: .qwqd
Файл: Dcry.exe
Email: qwqd@protonmail.com
Результаты анализов: HA+VT
Записка: READ_ME_MY_FRIEND.txt
Содержание записки:
Hello my friend. Your files are encrypted.
If you want get back your files, just write to e-mail qwqd@protonmail.com.
Please don't try decrypt yourself, because third-party decryptor can broke your files.
For test decrypt you can send me 1 file ~2MB.
Your key: MTD_UjR0Da6SF6fgNzzpnb8l


Обновление от 13 сентября 2017:
Новая версия: DCry 2.0
Пост в Твиттере >>
Расширение: .dian
Email: lnq@protonmail.com
Результаты анализов: VT
На скриншоте часть кода с сообщением к Demonslay335




Внимание!
Для зашифрованных файлов есть декриптер
Скачать DCryDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DCry, DCry 2.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *