суббота, 1 октября 2016 г.

Krypte

Krypte Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 20 евро с карты PaySafeCard, чтобы вернуть файлы. Название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .fearАктивность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на немецкоязычных пользователей.

© Генеалогия: Razy Ransomware >  Krypte Ransomware

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :) 
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter. 
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :) 

Перевод на русский язык:
Привет! Я Krypte! Вымогатель! Я твои документы, музыку, фото и другие важные файлы с AES шифрованием зашифровал. Если ты свои данные хочешь вернуть, то прошу следовать инструкциям :)
Купи карту PaySafeCard на 15-20 евро и введи её код в текст-бокс ниже. Впиши свой email-адрес в другой текст-бокс и нажми кнопку "Weiter".
Если код PaySafeCard правильный, ты получишь на свой email-адрес ключ + удалитель и дешифратор.
На твоем месте я бы не стал запускать антивирусных программ и не пытался удалить этот вирус. Эта программа является твоим единственным шансом получить обратно свои данные.
Твой секретный ключ через 72 часа будет удален с нашего сервера. Успехов :)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Выполняя шифрования Krypte создаёт копию оригинального файла, меняет его имя файлов на рэндомное (случайное), добавляет к нему расширение .fear и удаляет оригинальный файл. Затем генерирует графический файл с требованиями выкупа и отображает блокировщик экрана с текстом вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (159 расширений). 

Файлы, связанные с Krypte Ransomware:
WinOSHelp.exe - исполняемый файл вымогателя;
oldfilename.txt - текстовый файл со старыми именами файлов.

Записи реестра, связанные с Krypte Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
http://www.nyxbone.com/malware/Razy(German).html
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-30-2016-princess-locker-locky-switching-to-odin-decryptors-and-more/
 Thanks: 
 MalwareHunterTeam 
 GrujaRS of CyberSecurity GrujaRS
 Lawrence Abrams of BleepingCompute
 Mosh of Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *