суббота, 1 июля 2017 г.

EnCrypt

EnCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляется расширение .en

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_THIS_FILE.txt
EnCryptEnCrypt
 Записка о выкупе (две страницы)

Содержание записки о выкупе:
  YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
---
 The only way to decrypt your files is to receive the private key and decryption program.
 To decrypt your files you need to buy the private key
 ---
                     HOW TO GET THE PRIVATE KEY?
 1. Create a Bitcoin Wallet (blockchain.info)
 2. Buy necessary amount of Bitcoins (50$)
    Do not forget about the transaction commission in the Bitcoin network
    Here are our recommendations:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading In Korea
    btcdirect.eu  - A good service for Europe
    bittylicious.com - Get BTC via Visa / MC or SEPA (EU) bank transfer
    localbitcoins.com - This service allows you to search for people that want to sell Bitcoins directly (WU, Cash, SEPA, Paypal, etc).
    cex.io - Buy Bitcoins using Visa / Mastercard or Wire Transfer.
    coincafe.com  - It is recommended for the fast and easy service. Payment methods: Western Union, Bank of America, cash through FedEx, Moneygram, and/or wire transfer
    bitstamp.net - Old and proven Bitcoin dealer
    coinmama.com  - Visa/Mastercard
    btc-e.com - Bitcoins dealer (Visa/Mastercard, etc.)
    Could not find Bitcoins in your region? Try searching here:
    buybitcoinworldwide.com  International catalog of Bitcoins exchanges
    bitcoin-net.com  - Another Bitcoins sellers catalog
    howtobuybitcoins.info - International catalog of Bitcoins exchanges
    bittybot.co/eu  - A catalog for the European Union
 3. Send 50$ to the following Bitcoin address:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Go to the following site:
        http://yfkhfomk3iqod5vb.onion 
 5. In there site insert:
    ID ([redacted])
    Your btc address (the same utilized for the payment)
    Your email address (to receive the key and the program for decrypt)
 6. Wait 24/48h and check your email (also the spam)
 ---
                     HOW TO ACCESS TO THE WEBSITE?
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open:
        http://yfkhfomk3iqod5vb.onion 
 Note! This page is available via "Tor Browser" only.
 ---
 Also you can use temporary addresses without using "Tor Browser".
 ---
 1. http://yfkhfomk3iqod5vb.tor2web.org
 2. http://yfkhfomk3iqod5vb.onion.link 
 3. http://yfkhfomk3iqod5vb.onion.nu 
 4. http://yfkhfomk3iqod5vb.onion.cab 
 5. http://yfkhfomk3iqod5vb.onion.to
 ---

Перевод записки на русский язык:
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
---
 Единственный способ расшифровать ваши файлы - получить закрытый ключ и программу дешифрования.
 Чтобы расшифровать ваши файлы, вам нужно купить закрытый ключ
 ---
                     КАК ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ?
 1. Создайте Биткоин-кошелек (blockchain.info)
 2. Купите нужное количество биткоинов (50 $)
    Не забывайте о транзакционной комиссии в Bitcoin-сети
    Вот наши рекомендации:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading в Корее
    Btcdirect.eu - Хороший сервис для Европы
    Bittylicious.com - Получите BTC через банковский перевод Visa / MC или SEPA (EU)
    Localbitcoins.com - Эта услуга позволяет вам искать людей, которые хотят напрямую продавать Bitcoins (WU, Cash, SEPA, Paypal и т.д.).
    Cex.io - Покупка биткоинов с использованием Visa / Mastercard или Wire Transfer.
    Совместимость - рекомендуется для быстрого и легкого обслуживания. Способы оплаты: Western Union, Bank of America, наличные деньги через FedEx, Moneygram и / или банковский перевод
    Bitstamp.net - Старый и проверенный дилер Bitcoin
    Coinmama.com - Visa / Mastercard
    Btc-e.com - Дилер Bitcoins (Visa / Mastercard и т. Д.)
    Не удалось найти биткоины в вашем регионе? Попробуйте найти здесь:
    Buybitcoinworldwide.com Международный каталог обменов биткоинами
    Bitcoin-net.com - Другой каталог продавцов биткоинов
    Howtobuybitcoins.info - Международный каталог обменов биткоинами
    Bittybot.co.eu - Каталог для Европейского Союза
 3. Отправьте 50$ на следующий биткоин-адрес:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Перейдите на следующий сайт:
        http://yfkhfomk3iqod5vb.onion
 5. Там размещён сайт:
    ID ([отредактирован])
    Ваш btc-адрес (тот же, что и для платежа)
    Ваш email-адрес (чтобы получить ключ и программу для расшифровки)
 6. Подождите 24/48 ч. и проверьте свой email (и папку "Спам")
 ---
                     КАК ПОЛУЧИТЬ ДОСТУП К ВЕБ-САЙТУ?
 1. Загрузите «Tor Browser» с https://www.torproject.org/ и установите его.
 2. В «Tor Browser» откройте:
        http://yfkhfomk3iqod5vb.onion
 Заметьте! Эта страница доступна только через Tor-браузер.
 ---
 Также вы можете использовать временные адреса без использования «Tor-браузера.


Начальная страница Tor-сайта


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_THIS_FILE.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
xxxx://yfkhfomk3iqod5vb.onion 
xxxx://yfkhfomk3iqod5vb.tor2web.org
xxxx://yfkhfomk3iqod5vb.onion.link 
xxxx://yfkhfomk3iqod5vb.onion.nu 
xxxx://yfkhfomk3iqod5vb.onion.cab 
xxxx://yfkhfomk3iqod5vb.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EnCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *