Paycrypt

Paycrypt Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,35 за дешифровку файлов. Paycrypt по некоторым признакам похож на BandarChor, потому может быть его клоном. Был активен в феврале 2016. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 

Remove Paycrypt Decrypt Paycrypt Decode Restore files Recovery data Удалить Bandarchor Дешифровать Расшифровать Восстановить файлы

Содержание текста на изображении: 
Attention! Your computer has been attacked by a virus-encoder!
AII your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at paycrypt@aol.com
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address: 
paycrypt@india.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы зашифрованы с криптографически стойкий алгоритмом.
Без оригинального ключа восстановление невозможно.
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на paycrypt@aol.com
Наша помощь небесплатна, нужно заплатить разумную цену за наши услуги дешифровки. Исключений не будет.
В теме письма вашей email укажите ID номер, которые можно найти в имени всех зашифрованных файлов.
В ваших интересах ответить быстрее, чтобы обеспечить восстановление файлов.
P.S. только если вы не получили ответ с первого email в течение 48 часов, используйте этот альтернативный email-адрес:
paycrypt@india.com

  Текст со скринлока немного похож на тот, что был у BandarChor, но email-адреса другие и платить надо 1,35 BTC. Вполне возможно, что за обоими вымогателями стоит одна и та международная группа, или используется общий шаблон. 

  Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах. Письма приходят якобы от Facebook, Twitter, PayPal и Amazon, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Во вложении могут находиться файлы форматов PDF, DOCX, DOC, XLS и XLSX. Ориентирован главным образом на русскоязычных пользователей. C&C-серверы находятся на скомпрометированных сайтах, в их числе Livingbybuddhism.com и Vonee.com

  Paycrypt шифрует все файлы, которые могут хранить важные данные, кроме исполняемых файлов и DLL-библиотек, чтобы жертва смогла сделать платеж. Например, файл Cat.png будет преобразован в Cat.png.id-[random_number]-paycrypt@aol.com. Теневые копии файлов, сделанные Windows или программами резервного копирования не удаляются, потому их можно использовать для восстановления данных без уплаты выкупа. Но прежде нужно очистить ПК от самого вредоноса. 

Список файловых расширение, подвергающихся шифрованию: 
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (329 расширений). 

Степень распространённости: средняя. 
Подробные сведения собираются.