HelpDCFile

HelpDCFile Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от названия записки о выкупе: help_dcfile. 

© Генеалогия: R980 > HelpDCFile

К зашифрованным файлам добавляется расширение .xxx. 
Шаблон зашифрованных файлов: [10_random_characters.xxx]

Активность этого криптовымогателя пришлась на сентябрь 2016 г.

Записки с требованием выкупа называются: help_dcfile.txt и help_dcfile.html. Они размещаются на рабочем столе и, возможно, в других заметных местах. 

Содержание записки о выкупе:
!!!!Attention!!!!
Your personal files are encrypted.
Your files have been safely encrypted on this PC: photos, videos, documents, etc. 
Encryption was produced using a unique public key AES and RSA generated for this computer.To decrypt files you need to obtain the private key which have been saved on our server. 
You only have 72 hours( 26/09/2016 12:41:47 + 72 hours ) to submit the payment!! If you dont pay in 72h , Your key will be destroyed.
How to get your files back:
To decrypt your files you have to pay 0.5 Bitcoins(BTC).
How to make payment?
1. Firstly,you have to buy bitcoins. You can buy bitcoins easily at the following site(you can skip this step if you already have bitcoins)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Send 0.5 bitcoins to the following bitcoin address. You dont have to send the exact amount above. You have to send at least this amount for our system.
BITCOIN ADDRESS: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Find your transaction ID(TXID) and enter TXID on the form.
4. Once you have paid to the above bitcoin address we will give you a link to decrypt key that will fix your files.
It will be sent to a public email account we have created for you.
(example) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs 
Please wait up to 24 hours for your decrypt key to arrive.

Перевод записки на русский язык:
!!!!Внимание!!!!
Ваши личные файлы зашифрованы.
Ваши файлы безопасно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с использованием уникального открытого ключа AES и RSA, созданного для этого ПК. Для расшифровки файлов надо получить секретный ключ, который сохранен на нашем сервере.
У вас есть только 72 часа (26/09/2016 12:41:47 + 72 часов) для оплаты!! Если вы не платите за 72 ч., ваш ключ будет уничтожен.
Как получить файлы обратно:
Для расшифровки файлов вы надо заплатить 0,5 биткоинов (BTC).
Как сделать платеж?
1. Сначала вы должны купить биткойны. Вы можете купить биткойны на следующих сайтах (можете пропустить этот шаг, если у вас уже есть биткойны)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Отправить 0,5 биткойна по Bitcoin-адресу. Вы не должны отправить точную сумму выше. Вы должны отправить по крайней мере эту сумму для нашей системы.
Bitcoin-адрес: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Найдите свой ID транзакции (TXID) и введите TXID в форму.
4. После того, как вы заплатили по указанному выше Bitcoin-адресу мы дадим вам ссылку на ключ дешифровки, который исправит ваши файлы.
Он будет направлен на адрес почты, который мы создали для вас.
(Пример) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs
Пожалуйста, ждите до 24 часов для прихода вашего ключа дешифровки.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с HelpDCFile Ransomware:
C:\Program Files (x86)\wsW1u4.exe
help_dcfile.txt
help_dcfile.html
update.exe

Записи реестра, связанные с HelpDCFile Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
https://id-ransomware.malwarehunterteam.com/
https://www.pcrisk.com/removal-guides/10522-helpdcfile-ransomware

 Thanks: 
 Michael Gillespie
 Tomas Meskauskas
 

© Amigo-A (Andrew Ivanov): All blog articles.