Krypte

Krypte Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 20 евро с карты PaySafeCard, чтобы вернуть файлы. Название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .fear. Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на немецкоязычных пользователей.

© Генеалогия: Razy Ransomware >  Krypte Ransomware

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :) 
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter. 
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :) 

Перевод на русский язык:
Привет! Я Krypte! Вымогатель! Я твои документы, музыку, фото и другие важные файлы с AES шифрованием зашифровал. Если ты свои данные хочешь вернуть, то прошу следовать инструкциям :)
Купи карту PaySafeCard на 15-20 евро и введи её код в текст-бокс ниже. Впиши свой email-адрес в другой текст-бокс и нажми кнопку "Weiter".
Если код PaySafeCard правильный, ты получишь на свой email-адрес ключ + удалитель и дешифратор.
На твоем месте я бы не стал запускать антивирусных программ и не пытался удалить этот вирус. Эта программа является твоим единственным шансом получить обратно свои данные.
Твой секретный ключ через 72 часа будет удален с нашего сервера. Успехов :)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Выполняя шифрования Krypte создаёт копию оригинального файла, меняет его имя файлов на рэндомное (случайное), добавляет к нему расширение .fear и удаляет оригинальный файл. Затем генерирует графический файл с требованиями выкупа и отображает блокировщик экрана с текстом вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (159 расширений). 

Файлы, связанные с Krypte Ransomware:
WinOSHelp.exe - исполняемый файл вымогателя;
oldfilename.txt - текстовый файл со старыми именами файлов.

Записи реестра, связанные с Krypte Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
http://www.nyxbone.com/malware/Razy(German).html
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-30-2016-princess-locker-locky-switching-to-odin-decryptors-and-more/

 Thanks: 
 MalwareHunterTeam 
 GrujaRS of CyberSecurity GrujaRS
 Lawrence Abrams of BleepingCompute
 Mosh of Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.