суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. 

© Генеалогия: CrySiS > Crysis XTBL 

Зашифрованные файлы получают расширение .CrySis, которое дополняется почтовым адресом вымогателей. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Записка с требованием выкупа называется: How to decrypt your files.txt

Содержание записки о выкупе:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to to write us at the email: dalailama2015@protonmail.ch with the subject "encryption" stating your id.
Write in the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
P.S. only in case you do not receive a response from the first email address within 48 hours please use this alternative email goldmanO@india.com

Перевод текста на русский язык:
Внимание! На ваш компьютер атаковал вирус-энкодер.
Все ваши файлы зашифрованы криптографически сильно, без оригинального ключа восстановление невозможно! Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на email: dalailama2015@protonmail.ch с темой "шифрование" с указанием вашего идентификатора.
Напишите в случае, не тратьте свое и наше время на пустые угрозы.
Ответы на письма только подходящим людям неадекваты игнорируются.
P.S. только в том случае, если вы не получите ответ с первого email-адреса в течение 48 часов, пожалуйста, используйте этот альтернативный email goldmanO@india.com

Некоторые версии Crysis устанавливают своё изображение (wp.jpg или DECRYPT.jpg) в качестве обоев рабочего стола файл с тем же содержанием. 


Обои, установленные вымогателем
Текстовое сообщение вымогателя


Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Файлы, принадлежащие вымогателю:
C:\Users\User\Desktop\name.exe
C:\Users\User\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\User\Documents\wp.jpg или DECRYPT.jpg
C:\Users\User\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Известные email вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
и другие.

Новые вариации смотрите по ссылке

Степень распространённости: высокая
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декрипторы! 
Скачать ESET Crysis decryptor для CrySiS >>

Обновление от 15 апреля 2017:
Файл: volantem_diem@aol.com.exe
Записка: grand car back data.txt
Инструкция: HTA payment instructions 
Расширение: .onion
Email: volantem_diem@aol.com
Пример расширения: .id-12345678.[volantem_diem©aol.com].onion
Примеры зашифрованных файлов:
file.bmp.id-12345678.[volantem_diem©aol.com].onion
file.doc.id-12345678.[volantem_diem@aol.com].onion
file.jpg.id-12345678.[volantem_diem©aol.com].onion
file.mp3.id-12345678.[volantem_diem@aol.com].onion
file.pdf.id-12345678.[volantem_diem@aol.com].onion
file.png.id-12345678.[volantem_diem@aol.com].onion
file.txt.id-12345678.[volantem_diem©aol.com].onion

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton