EduCrypt Ransomware
HiddenTear 2.0 Ransomware
(шифровальщик-вымогатель, шифровальщик-обучатель)
Зашифрованные файлы получают расширение .isis
HiddenTear 2.0 — это оригинальное название вымогателя, но некоторые исследователи предпочли назвать его EduCrypt, считая его "обучающим вымогателем" (Eduware), что само по себе абсурдно, какое это обучающее пособие... Но в ID Ransomware этот вымогатель теперь записан как EduCrypt.
О шифровальщиках-обучателях читайте в Глоссарии.
Шифровальщик HiddenTear 2.0 основан на урезанной версии оригинального Hidden Tear. Он имеет ограниченный набор папок, в которых шифрует файлы, небольшое количество целевых файловых расширений и не обменивается данными с C&C-сервером.
При запуске криптовымогателя шифруются файлы в следующих папках:
%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos
Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (41 расширение).
По окончании шифрования на рабочем столе создается файл-записка README.txt. Там сообщается о том, что случилось с файлами жертвы и даётся ссылка на дешифратор.
Записка о выкупе
Декриптер от вымогателей
Well hello there, seems you have a virus! Well you are going to get the decryptor which is here http://www.filedropper.com/decrypter_1 Don't
Download Random Shit On The Internet. A Hidden .txt File Has Been Created With The Decrypt Password! Find It!..
Перевод на русский язык:
Ну привет, кажется, у тебя есть вирус! Ну ты можешь получить декриптор, который здесь http://www.filedropper.com/decrypter_1
Не качай всякое дерьмо из Интернета. Был создан скрытый txt-файл DecryptPassword.txt! Найди его!..
Пароль для дешифрования HDJ7D-HF54D-8DN7D сохраняется в "Documents" (Мои документы) в скрытый файл "DecryptPassword.txt". Он является единым для всех пострадавших от этой программы-вымогателя.
Файл с паролем
Замечено распространение этого вредоноса с загрузкам из Интернета, с иконкой Skype в стиле оригами и названием файла "skypetool.exe".
Пострадавшим лучше НЕ использовать декриптор от вымогателей, который ищет только файлы с расширением .locked, запрограммированным в оригинальном HiddenTear, и не ищет файлы с расширением .isis, которое использует данный криптовымогатель.
Разумнее использовать уже проверенный универсальный дешифровщик от Майкла Джиллеспи, в котором можно добавить любое расширение.
Рекомендуется сначала попробовать дешифровать 1-2 файла, чтобы получить положительный результат. И лишь потом указать на другие папки с зашифрованными файлами.
Read to links: Write-up on BC ID Ransomware (ID as EduCrypt) *
Thanks: Lawrence Abrams Michael Gillespie *
© Amigo-A (Andrew Ivanov): All blog articles.
Remove HiddenTear 2.0 Decrypt EduCrypt Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.