CryptoDefense Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп от 500 и выше долларов или евро, чтобы вернуть файлы обратно. Через 4 дня сумма выкупа удваивается до 1000 и выше долларов. Активность этого криптовымогателя пришлась на февраль-март 2014 г., но периодически обнаруживаются новые вредоносные кампании.
© Генеалогия: CryptoDefense. Начало >> клоны
Записки с требованием выкупа создаются в каждой папке с зашифрованными файлами и называются:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
TXT-вариант записки о выкупе
HTML-вариант записки о выкупе
Может быть открыто следующее окно браузера с адресом:
https://rj2bocejarqnpuhm.tor2web.org/[RANDOM ***], где жертве объясняется как оплатить выкуп в биткоинах.
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files.
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/*** and follow the instructions.
If https://rj2bocejarqnpuhm.onion.to/*** is not opening, please follow the steps below:
IMPORTANT INFORMATION:
Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/***
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/***
Your Personal CODE(if you open site directly): ***
Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на компьютере зашифрованы с помощью CryptoDefense Software.
Шифрование было сделано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Для расшифровки файлов вам надо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит вам расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ через месяц. После этого никто и никогда не сможет восстановить файлы.
Для того, чтобы расшифровать файлы, откройте свою персональную страницу на сайте https://rj2bocejarqnpuhm.onion.to/*** и следуйте инструкциям.
Если https://rj2bocejarqnpuhm.onion.to/*** не открывается, пожалуйста, выполните следующие действия:
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: https://rj2bocejarqnpuhm.onion.to/***
Ваша личная страница (для TorBrowser): rj2bocejarqnpuhm.onion / ***
Ваш личный код (если вы открываете сайт напрямую): ***
Распространяется с помощью email-спама и вредоносных вложений, с помощью ссылок на вредоносные сайты, содержащие эксплойт.
Список файловых расширений, подвергающихся шифрованию:
.asp, .ass, .ava, .avi, .bay, .bmp, .c, .cer, .cpp, .crt, .cs, .db, .der, .doc, .dtd, .eps, .gif, .h, .hpp, .jpg, .js, .key, .lua, .m, .mp3, .mpg, .msg, .obj, .odt, .pas, .pdb, .pdf, .pem, .pl, .png, .ppt, .ps, .py, .raw, .rm, .rtf, .sql, .swf, .tex, .txt, .wb2, .wpd, .xls (48 расширений).
CryptoDefense создает следующую запись реестра, чтобы сохранить путь всех зашифрованных файлов: HKEY_CURRENT_USER\Software\[RANDOM CHARACTERS]\PROTECTED
CryptoDefense создает следующие записи в реестре, чтобы запускаться каждый раз при запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%AppData%\[RANDOM CHARACTERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" =" C:\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe"
CryptoDefense удаляет тома теневых копий файлов, отключает службу восстановления Windows, службу восстановления после ошибок при запуске, систему обеспечения безопасности.
Файлы, связанные с CryptoDefense Ransomware:
%UserProfile%\Desktop\HOW_DECRYPT.URL
%UserProfile%\Desktop\HOW_DECRYPT.TXT
%UserProfile%\Desktop\HOW_DECRYPT.HTML
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
Записи реестра, связанные с CryptoDefense Ransomware:
HKEY..\..\{CLSID Path}
HKEY_CURRENT_USER\Software\[unique id]
HKEY_CURRENT_USER\Software\[unique id] "finish" = "1"
HKEY_CURRENT_USER\Software\[unique id]\PROTECTED
Сетевые подключения и связи:
machetesraka.com
markizasamvel.com
armianazerbaijan.com
allseasonsnursery.com
BTC:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (первая транзакция 18 марта 2014 года)
19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (первая транзакция 28 февраля 2014 года)
Степень распространённости: высокая, включая клоны.
Подробные сведения собираются.
Внимание!
Для зашифрованных файлов есть декриптер.
