Crypt0 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями по почте, чтобы вернуть файлы обратно.
К зашифрованным файлам добавляется расширение _crypt0. Таким образом файл picture.jpg примет вид picture_crypt0.jpg. Название происходит от добавляемого расширения. Оригинальное название проекта: crypt0-Encrypt.pdb. Оригинальное название файла: crypt0-Encrypt.exe
© Генеалогия: DetoxCrypto > Crypt0
Записки с требованием выкупа называются HELP_DECRYPT.TXT и размещаются в каждой папке с зашифрованными файлами. Из-за ошибки в крипто-вымогателе записки с требованием выкупа могут получить многократно повторенное название, см. скриншот ниже. Это характерная особенность этого вымогателя.
Записка о выкупе
Содержание записки о выкупе:
What happened to your files ?
They are being held for ransom - All of your files were protected by a strong encryption with rsa-2048 using cryptowall 3.0.
More information about the encryption keys using rsa-2048 can be found here: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen ?
Especially for you, on our server was generated the secret key pair rsa-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the internet.
Decrypting of your files is only possible with the help of the private key and decryption program, which is on our secret server.
What do I do ?
(DO NOT DELETE THIS FILE FROM THIS FOLDER - It is needed to decrypt your files)
Alas, if you do not take the necessary measures within a week then tne conditions for obtaininq the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for otner solutions because they do not exist.
YOU HAVE TO CONTACT: fndimaf@gmai1.com for furtner instructions on how to get the decryption program to recover your files.
Перевод записки на русский язык:
Что случилось с вашими файлами?
Их держат за выкуп - все ваши файлы были защищены сильным шифрованием с rsa-2048 с использованием cryptowall 3.0.
Более подробную информацию о ключах шифрования с помощью rsa-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
Что это значит ?
Это означает, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их или видеть их, это как потерять их навсегда, но с нашей помощью вы можете их восстановить.
Как это произошло ?
Специально для вас на нашем сервере была создана секретная пара ключей rsa-2048 - открытый и закрытый.
Все ваши файлы были зашифрованы с открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы дешифрования, которая находится на нашем секретном сервере.
Что мне делать ?
(НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЗ ЭТОЙ ПАПКИ - надо расшифровать ваши файлы)
Увы, если вы не предпримете нужные меры в течение недели, тогда условия для получения закрытого ключа будут изменены.
Если вы действительно цените свои данные, мы предлагаем вам не тратить драгоценное время на поиск иных решений, потому что их нет.
У ВАС ЕСТЬ КОНТАКТ: fndimaf@gmai1.com для получения инструкций о том, как получить программу дешифрования для восстановления ваших файлов.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с Ransomware:
crypt0-Encrypt.exe
HELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXTHELP_DECRYPT.TXT
7za_crypt0.exe
autoclick_crypt0.log
autoexec_crypt0.bat
clipboard_crypt0.log
config_crypt0.sys
f964450a9c1d8767c2dfc11c0d5b84ca99da9ec9c4f818b6f9ce4edeb06cb151_crypt0.exe
GDIPFONTCACHEV1.DAT
mousewheel_crypt0.log
Office64WW_crypt0.msi
ose_crypt0.exe
osetup_crypt0.dll
setup_crypt0.exe
Setup_crypt0.xml
StandardWW_crypt0.xml
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: fndimaf@gmail.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Внимание! Для зашифрованных файлов есть декриптер! Скачать Crypt0 Decrypter >> Инструкция: Выберите папку с зашифрованными файлами и нажмите кнопку "Decrypt".
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support
Thanks: MalwareHunterTeam Michael Gillespie (Demonslay335) *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.