BitCrypt 2.0 Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в 0.4 BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: BitCrypt > BitCrypt 2.0
К зашифрованным файлам добавляется расширение .bitcrypt2
Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на разноязычных пользователей, что позволило успешно распространять его по всему миру. Разные источники сообщают, что наибольшее число пострадавших было из США.
Записка с требованием выкупа называется: BitCrypt.txt
Она написана на 10 языках мира: английском, французском, немецком, итальянском, испанском, португальском, русском, японском, китайском, арабском.
Attention!!!
Your BitCrypt ID: {transaction ID}
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.
Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID: {transaction ID}
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.
Другие информатором в этой версии шифровальщика выступает изображение BitCrypt.bmp, заменяющее обои на Рабочем столе.
Содержание текста на обоях:
Your computer was infected by BitCrypt v2.0 cryptovirus.
For more information you should find txt file named Bitcrypt.txt on your Desktop.
Перевод текста на русский язык:
Ваш компьютер был заражен криптовирусом BitCrypt v2.0.
Для получения информации вы должны найти txt-файл Bitcrypt.txt на рабочем столе.
На сайте вымогателей предлагается ввести BitCrypt ID, найденный в записке о выкупе.
После входа пользователь переходит на страницу BitCrypt, якобы принадлежащую Bitcrypt Software Inc., которая предоставляет пострадавшему инструкции по восстановлению своих данных за 0,4 BTC.
На сайте имеется также страница FAQ, показанная ниже.
Технические детали
BitCrypt распространялся троянской программой под названием FAREIT, которая ворует другие биткоины. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации.
➤ Исследователи сообщили, что FAREIT ищет и пытается извлечь информацию из файлов wallet.dat (Bitcoin), electrum.dat (Electrum) и .wallet (MultiBit). Эти файлы создаются и используются различными клиентскими приложениями Bitcoin.
➤ Завершает следующие процессы, если они находятся в памяти затронутой системы:
taskmgr.exe
regedit.exe
➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы.
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
➤ Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation
Это значение затем используется как часть идентификатора Bitcrypt ID.
➤ Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures
Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer,
.css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm,
.gz, .jpeg, .jpg, .js, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp,
.php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xl, .xlc,
.xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (56 расширений).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.Файлы, связанные с этим Ransomware:
win.exe - файл, загружаемый с вредоносного сайта
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе
BitCrypt.bmp - изображение на обои
Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
%Application Data%\BitCrypt.bmp
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bitcomint = "%AppData%\<random>.exe" (удаляется после успешного шифрования файлов)
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя на момент распространения.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as BitCrypt, BitCrypt 2.0) Write-up, Write-up, Write-up, Topic of Support *
Thanks: Trend Micro Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.