Crypt38 Ransomware
Этот криптовымогатель шифрует данные пользователей с помощью AES, а затем требует 1000 рублей или ~15 долларов, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. Зашифрованные файлы получают расширение .crypt38.
Regist Ransomware ориентирован на русскоязычных пользователей, т.к. блокировщик экрана на русском языке.
Почта вымогателей regist3030@yandex.ru
Вместо записки о выкупе используется блокировщик экрана.
Crypt38 добавляется в автозагрузку системы. Каждый раз при запуске проверяет, находится ли его копия в директории %Appdata%\Microsoft\Windows\lsass.exe.
И если её там нет, то создаёт заново.
Crypt38 сканирует все диски в следующем порядке:
C:\, D:\, E:\, Z:\, Y:\, X:\, W:\, V:\, F:\, G:\, H:\, I:\, J:\, K:\, U:\, T:\, S:\, R:\, Q:\, L:\, М:\, N:\, O:\, P:\, A:\, B:\.
Это существенно замедляет процессы шифрования и дешифрования файлов.
Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .html, .rtf, .dwg, .cdw, .max, .psd, .3dm, .3ds, .dxf, .ps, .ai, .svg, .indd, .cpp, .pas, .php, .cs, .py, .java, .class, .fla, .pl, .sh, .jpg, .jpeg, .jps, .bmp, .tiff, .avi, .mov, .mp4, .amr, .aac, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .accdb, .odt, .odp, .odx, .ibooks, .xlp, .db, .dbf, .mdf, .sdf, .mdb, .sql, .rar, .7z, .zip, .vcf, .cer, .csr, .torrent, .otl, .report, .key, .csv, .xml (65 расширений).
Файлы вымогателя:
%Appdata%\lsass.exe - копия себя
%Appdata%\request.bin – содержит ID жертвы
%Appdata%\encrypted
Папка, созданная вымогателем:
{root drive} \ow4386747
Ключ реестра вымогателя:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Значение: lsass
%Appdata%\lsass.exe
Анализ от Fortinet >>>
К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа.
За помощью в дешифровке обращайтесь на форум bleepingcomputer.com
Степень распространенности: низкая.
Подробные сведения собираются.
Внимание!!!
Для зашифрованных файлов есть дешифровщик.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.