CryptoHitman Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoHitman.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: Jigsaw > CryptoHitman
Этимология названия:
CryptoHitman использует персонаж Hitman из популярных видео-игр и фильмов. Изображение киллера дополняет экран блокировки с порнографическими изображениями.
К зашифрованным файлам добавляются расширения .porno или .pornoransom
Активность этого крипто-вымогателя пришлась на начало мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
Your files have been encrypted. We will delete files every hour.
Ransom / Recompensa ID: 10958847
You must pay $150 USD in Bitcoins to the address specified below.
Depending on the amount of files you have your Ransom can double to $300
If you dont pay within 36 hours.
Take a picture of the BTC address, Ransom ID and contact email.
We will delete files everyhour until you pay!
If you do not have Bitcoins visit www.localbitcoins.com to purchase.
Your payment BTC Address is 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Everytime you restart your computer it recrypts everything. It will take a while for you to see the this screen again. Take a photo in case you want to contact us.
Every time you restart the computer you run the risk of damaging the hard drive.
Questions - email us: cryptohitman@yandex.com
Перевод записки на русский язык:
Ваши файлы были зашифрованы. Мы будем удалять файлы каждый час.
Ransom / Recompensa ID: 10958847
Вы должны заплатить $150 США в биткоинах по указанному ниже адресу.
В зависимости от количества ваших файлов, вы можете удвоить сумму до $300 США, если вы не платите в течение 36 часов.
Сделайте снимок адреса BTC, Ransom ID и контактного email.
Мы будем удалять файлы каждый час, пока вы не заплатите!
Если у вас нет биткоинов, посетите сайт www.localbitcoins.com для покупки.
Ваш платёжный BTC-адрес - 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Каждый раз, когда вы перезагружаете компьютер, он переписывает все. Вам понадобится время, чтобы снова увидеть этот экран. Сделайте снимок, если вы хотите связаться с нами.
Каждый раз, когда вы перезагружаете компьютер, вы рискуете повредить жесткий диск.
Вопросы - напишите нам: cryptohitman@yandex.com
Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Как и Jigsaw этот шифровальщик-вымогатель тоже удаляет файлы при каждом запуске Windows, при перезапуске процесса вымогателя и когда таймер досчитает до нуля.
Основные отличия CryptoHitman от Jigsaw:
- использование порнографического экрана;
- использование игрового персонажа Hitman;
- использование расширений .porno и .pornoramsom;
- новые имена исполняемых файлов вымогателя.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
папка \Suerdf\ и файл suerdf.exe
папка \Mogfh\ и файл mogfh.exe
папки \System32Work\ и \dr\
Address.txt
EncryptedFileList.txt
Расположения:
%LocalAppData%\Suerdf\
%LocalAppData%\Suerdf\suerdf.exe
%AppData%\Mogfh\
%AppData%\Mogfh\mogfh.exe
%AppData%\System32Work\
%AppData%\System32Work\Address.txt
%AppData%\System32Work\dr
%AppData%\System32Work\EncryptedFileList.txt
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe %AppData%\Mogfh\mogfh.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cryptohitman@yandex.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Внимание! Для зашифрованных файлов есть декриптер Скачать JigsawDecrypter для дешифровки >>
Для расшифровки файлов по горячим следам сначала нужно прекратить процессы
%LocalAppData%\Suerdf\suerdf.exe и %AppData%\Mogfh\mogfh.exe в диспетчере задач.
Затем нужно запустить MSConfig и отключить автозапуск для этих исполняемых файлов.
Read to links: Tweet on Twitter ID Ransomware (ID as CryptoHitman) Write-up, Topic of Support *
Thanks: Lawrence Abrams Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.