IGotYou Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10000 индийских рупий, чтобы вернуть файлы. Оригинальное название: EncryptingRansomware. На файле написано: EncryptingRansomware.exe. Разработчик: Rogers_Pro.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: Stupid / FTSCoder >> IGotYou
К зашифрованным файлам добавляется расширение .iGotYou
Образец этого крипто-вымогателя обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Files Encrypted
If you are reading this, that means your files are now ENCRYPTED by me. #youCan'tSeeMe
If you dont know what's encryption, then go to www.http://searchsecurity.techtarget.com/definition/encryption .
In order to get your data back free from encryption you need to decrypt your data back.
And, obviously you can NOT do that so easily. For that you required a authentic private key and that can only be provided via secrect passcode.
The authentic private key is safe and unbreachable . It will be authenticated by its hash value which can only be possible by that secrect passcode.
In order to get that secrect passcode, you need to help me out with some money. Now I Don't care what do you think when i said "help me out", you can aslo term it as ransom.
You need to pay me INR 10,000 via payTM in account No. XX2X9XX7XX by Dec 1, 2017.
I suggest you to use your phone for this.
WARNING: I am seeing EVERYTHING, so do not try for any smart moves. If there is any unwanted attempt, you can lose all your data FOREVER and after that don't blame me :p
Enter Decryption code here
[Initiate Decryption]
Перевод записки на русский язык:
Файлы зашифрованы
Если вы читаете это, значит ваши файлы теперь ENCRYPTED мной. # youCan'tSeeMe
Если вы не знаете, что такое шифрование, перейдите по адресу www.http://searchsecurity.techtarget.com/definition/encryption.
Чтобы ваши данные не остались зашифрованными, вам надо дешифровать свои данные.
И, очевидно, вы не сможете это легко сделать. Для этого вам нужен аутентичный закрытый ключ, который может быть предоставлен только с помощью секретного пароля.
Аутентичный секретный ключ является безопасным и недоступным. Он будет аутентифицироваться по его хэш-значению, которое может быть возможно только с помощью этого безопасного кода доступа.
Чтобы получить этот секретный код, вам нужно помочь мне с деньгами. Теперь мне все равно, что вы думаете, когда я сказал «помогите мне», вы также можете назвать его выкуп.
Вы должны заплатить мне 10000 рупий через payTM на счет №XX2X9XX7XX до 1 декабря 2017 года.
Я предлагаю вам использовать свой телефон для этого.
ПРЕДУПРЕЖДЕНИЕ: Я вижу ВСЕ, поэтому не пытайтесь делать какие-то умные шаги. Если будет какая-то нежелательная попытка, вы можете потерять все свои данные НАВСЕГДА и после этого не вините меня: p
Введите код дешифрования здесь
[Initiate Decryption]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Шифрует только файлы в тестовой папке: C:\Test
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Файлы, связанные с этим Ransomware:
EncryptingRansomware.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер Скачать StupidDecrypter для дешифровки >>
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
