CrySiS Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. CrySiS создан и распространялся из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие.
Изображение - это логотип статьи
© Генеалогия: CrySiS > Crysis XTBL, Dharma, Phobos
Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году.
Зашифрованные файлы получают расширение .CrySis, которое дополняется email-адресом вымогателей. Данный приём позже стал довольно популярным среди вымогателей. По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран.
Пример зашифрованного файла:
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS
Записка с требованием выкупа называется: How to decrypt your files.txt
Содержание записки о выкупе:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to to write us at the email: dalailama2015@protonmail.ch with the subject "encryption" stating your id.
Write in the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
P.S. only in case you do not receive a response from the first email address within 48 hours please use this alternative email goldmanO@india.com
Перевод текста на русский язык:
Внимание! На ваш компьютер атаковал вирус-энкодер.
Все ваши файлы зашифрованы криптографически сильно, без оригинального ключа восстановление невозможно! Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на email: dalailama2015@protonmail.ch с темой "шифрование" с указанием вашего идентификатора.
Напишите в случае, не тратьте свое и наше время на пустые угрозы.
Ответы на письма только подходящим людям неадекваты игнорируются.
P.S. только в том случае, если вы не получите ответ с первого email-адреса в течение 48 часов, пожалуйста, используйте этот альтернативный email goldmanO@india.com
Некоторые версии Crysis устанавливают своё изображение (wp.jpg или DECRYPT.jpg) в качестве обоев рабочего стола файл с тем же содержанием.
Обои, установленные вымогателем
Текстовое сообщение вымогателя
Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления.
C:\Users\User\Desktop\name.exe
C:\Users\User\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\User\Documents\wp.jpg или DECRYPT.jpg
C:\Users\User\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop
Известные email вымогателей:
dalailama2015@protonmail.ch
goldman0@india.com
и другие.
Степень распространённости: высокая.
Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть дешифровщики! * 1) Скачать RakhniDecryptor для CrySiS >> 2) Скачать Avast Decryptor для CrySiS >> 3) Скачать ESET Crysis decryptor для CrySiS >> *
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as CrySiS) Write-up, Topic of Support *
Thanks: Michael Gillespie, BleepingComputer Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.