ToxCrypt Ransomware
Tox Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно. Для генерации ключей шифрования используется Microsoft CryptoAPI.
К зашифрованным файлам добавляется расширение .toxcrypt.
Подробно описан TrendMicro в мае 2015 года.
Записка о выкупе называется tox.html
Изображение, опубликованное на сайте BleepingComputer
Другой вариант, полученный от пострадавших
Содержание записки:
Attention
The files in your PC are now encrypted. The only way to have them back, is to pay a ransom of 50.00$.
How to pay
You have to pay the ransom in bitcoins to the address 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko which has been reserved for you. Please note that the value of bitcoin is unstable and may change in the near future. The current amount of bitcoin to pay is 0.43 bitcoins (worth 50.00$).
How to buy bitcoins
Buying bitcoin is easy, just follow the instructions:
register here
deposit funds using a credit card or through bank transfer
withdraw 0.43 bitcoins to 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko
wait the transaction to be completed (it usually takes less than two hours)
if your files are not decrypted automatically, please write to tox@sigaint.org with the subject HELP, sending the bitcoin address you paid to (1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko). You can also spam this mailbox with useless stuff or wishing me death, so that mail sent from people who actually need help wont be read.
Tox© copyright 2015 (just kidding)
Перевод на русский язык:
Внимание
Теперь файлы на вашем компьютере зашифрованы. Единственный способ вернуть их - это заплатить выкуп в размере 50.00$.
Как платить
Вы должны заплатить выкуп в биткойнах на адрес 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko, который зарезервирован для вас. Обратите внимание, что стоимость биткойна нестабильна и может измениться в ближайшем будущем. Текущее количество биткойнов для оплаты составляет 0,43 биткойна (на сумму 50.00$.).
Как купить биткойны
Купить биткойн легко, просто следуйте инструкциям:
зарегистрироваться здесь
вносить средства с помощью кредитной карты или банковским переводом
вывести 0,43 биткойна на 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko
дождитесь завершения транзакции (обычно это занимает менее двух часов)
если ваши файлы не расшифровываются автоматически, напишите по адресу tox@sigaint.org с темой HELP, отправив биткойн-адрес, с которого вы заплатили (1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko). Вы также можете спамить этот почтовый ящик бесполезными вещами или пожелать мне смерти, чтобы письма, отправленные от людей, которым действительно нужна помощь, не были прочитаны.
Tox© copyright 2015 (шучу)
Технические детали
Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\.
В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой.
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip
Список файловых расширений, подвергающихся шифрованию:
.3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений).
Сетевые подключения и связи:
Email: tox@sigaint.org
BTC: 1KKGLjfDpVtNXymtTkU3PiiCpkJ532cLko
Степень распространенности: средняя.
Подробные сведения собираются.
© Amigo-A (Andrew Ivanov): All blog articles.
