суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов за расшифровку. Вымогатель заменяет обои Рабочего стола на собственное изображение с текстом о выкупе. Уплатить выкуп необходимо в течении 48 часов. Зашифрованные файлы получают расширение .CrySis, которое дополняется почтовым адресом вымогателей. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Указанные почтовые адреса вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
Обои, установленные вымогателем
Текстовое сообщение вымогателя

Файлы, принадлежащие вымогателю:
C:\Users\W7_MMD\Desktop\name.exe
C:\Users\W7_MMD\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\W7_MMD\Documents\wp.jpg
C:\Users\W7_MMD\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Новые вариации смотрите по ссылке

Степень распространённости: низкая. 
Подробные сведения собираются.


Внимание!
Для зашифрованный файлов есть декрипторы! 
Скачать ESET Crysis decryptor для CrySiS >>

Обновление от 15 апреля 2017:
Файл: volantem_diem@aol.com.exe
Записка: grand car back data.txt
Инструкция: HTA payment instructions 
Расширение: .onion
Email: volantem_diem@aol.com
Пример расширения: .id-12345678.[volantem_diem©aol.com].onion
Примеры зашифрованных файлов:
file.bmp.id-12345678.[volantem_diem©aol.com].onion
file.doc.id-12345678.[volantem_diem@aol.com].onion
file.jpg.id-12345678.[volantem_diem©aol.com].onion
file.mp3.id-12345678.[volantem_diem@aol.com].onion
file.pdf.id-12345678.[volantem_diem@aol.com].onion
file.png.id-12345678.[volantem_diem@aol.com].onion
file.txt.id-12345678.[volantem_diem©aol.com].onion

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *