воскресенье, 4 ноября 2018 г.

DCRTR-WDM

DCRTR-WDM Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1270 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Windows Defender Monitor и wdm.exe. Фальш-копирайт: © Microsoft Corporation. All rights reserved.

© Генеалогия: DCRTR > DCRTR-WDM

К зашифрованным файлам добавляется расширение: .crypt
Файлы не переименовываются. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .CRYPT
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:  http://crypt443sgtkyz4l.onion/942a6d15e7378b***       
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------   On our page you will see the payment instructions and will be able to decrypt 1 file for free with the extension ".exe".
Attention!
TO PREVENT DATA CORRUPTION:
- do not modify files with extension.crypt
- do not run anti-virus programs, they may remove information to contact us
- do not download third-party file descriptors, only we can decrypt files!

Перевод записки на русский язык:
*********************** НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ ************ ***********
***** НЕСОБЛЮДЕНИЕ ЭТОГО ТРЕБОВАНИЯ ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ СИСТЕМЫ, ЕСЛИ БУДУТ ОШИБКИ В РАСШИФРОВКЕ *****
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .CRYPT
Единственный способ восстановления файлов - купить уникальный закрытый ключ. Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
-------------------------------------------------- --------------------------------------
| 0. Загрузите Tor-браузер - https://www.torproject.org/
| 1. Установите Tor-браузер
| 2. Откройте Tor-браузер 
| 3. Откройте ссылку в Tor-браузере: http://crypt443sgtkyz4l.onion/942a6d15e7378b4b5368b***
| 4. Следуйте инструкциям на этой странице
-------------------------------------------------- -------------------------------------- На нашей странице вы увидите инструкции по оплате и сможете дешифровать бесплатно 1 файл с расширением ".exe".
Внимание!
ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ:
- не изменяйте файлы с расширением .crypt
- не запускайте антивирусные программы, они могут удалить информацию для связи с нами
- не загружайте сторонние дескрипторы файлов, только мы можем расшифровать файлы!


Отказавшись от email в записке, вымогатели теперь используют не только текст записки о выкупе, но и сайт оплаты с дизайном, как у вымогателей проекта GandCrab-Ransomware. Скриншоты сайты представлены ниже. 




Содержание страниц сайта оплаты (постранично):
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
Buy cryptocurrency Bitcoin. Here you can find services where you can do it.
    Send 0.19725398 BTC to the address: 1D41x7GnXpN7jXhdZ7hfZXKsQzyGRNmkfg
    Attention!
    Please be careful and check the address visually after copy-pasting (because there is a probability of a malware on your PC that monitors and changes the address in your clipboard)
    If you don't use TOR Browser:
    Send a verification payment for a small amount, and then, make sure that the coins are coming, then send the rest of the amount.
    We won't take any responsibility if your funds don't reach us
    The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 minutes)
Transactions list
TX  Amount  Status
Total  0BTC  unpaid
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
What the matter?
Your computer has been infected with Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find and third-party software, but it won't help you, it only can make your files undecryptable
What can I do to get my files back?
You should buy Decryptor. This software will help you to decrypt all of your encrypted files and remove Ransomware from your PC.
Current price: 1270 USD. As payment, you need cryptocurrency Bitcoin
What is cryptocurrency and how can I purchase Decryptor?
You can read more details about cryptocurrency at Google or here.
As payment, you have to buy Bitcoin using a credit card, and send coins to our address.
How can I pay to you?
You have to buy Bitcoin using a credit card. Links to services where you can do it: Bitcoin exchanges list
After it, go to our payment page Buy Decryptor, choose your payment method and follow the instructions
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
If you have any problems with the purchase - please contact support.
You Support
{{ message.message }}
{{ message.created_at }}
Send message
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
   What the matter? Buy Decryptor Support Test Decrypt
Chose file ( .exe )
Decrypt



Технические детали

Распространяется под видом обновления для Windows Defender
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
wdm.exe
<random>.exe - случайное название
FileCryptor.pdb - название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Roaming\Windows Defender\wdm.exe
C:\Users\malay\Downloads\Telegram Desktop\FileCryptor (2)\FileCryptor\Release\FileCryptor.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://crypt443sgtkyz4l.onion/***  
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
🐞 Intezer анализ на файл libcrypto-1_1.dll >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 ноября 2018:
Пост на форуме >>
Записки: info.hta и HOW TO DECRYPT FILES.TXT
Email: dekode@qq.com
Содержание теперь заимствовано у Rapid Ransomware.
➤ Содержание записки: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - dekode@qq.com

and tell us your unique ID - ID-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as DCRTR)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton