понедельник, 19 декабря 2016 г.

CryptoBlock

CryptoBlock Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Adobe Systems, Incorporated.

© Генеалогия: выясняется.


Изображение не относится к шифровальщику

К зашифрованным файлам добавляется случайное расширение и сами файлы тоже переименовываются случайным набором букв, цифр и символов. Прочитать ничего невозможно. Как-то опознать файл можно только по размеру. См. пример. 
CryptoBlock Ransomware encrypted files

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 
CryptoBlock Ransomware

Содержание текста с экрана блокировки:
CryptoBlock
Your personal files are encrypted!
Your personal files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0.3 bitcoin (~210 USD).
You can easily delete this software, but know that without it, you will never be able to get your original files back.
Disable your antivirus to prevent the removal of this software.
For more information on how to buy and send bitcoins, click "How to pay"
Do not delete this list, it will be used for decryption. And do not move your files.
Each time the timer expires, the total cost will raise.
After the purchase is made, wait 1-3 hour for our confirmation of the bitcoins.
After that click on "Decrypt Files" to Decrypt your files.

Текст с правой части экрана: 
First send the bitcoin to this adress and then
click on the blue button
Send exactly 0.3 BTC to this address:
Note: You should send the bitcoins to this adress
Click here if you send the bitcoins
Note: You can purchase bitcoins from this sites for yourself
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://cex.io (UK)
xxxs://paxful.com

Перевод текста на русский язык:
CryptoBlock
Ваши личные файлы зашифрованы!
Ваши личные файлы шифрование произведено на этом компьютере: фото, видео, документы и т.д. Шифрование было произведено с уникальным открытым ключом RSA-2048 созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственная копия секретного ключа, который может расшифровать файлы, находится на секретном сервере в Интернет; сервер уничтожит ключ после указанного срока в этом окне. После этого никто и никогда не сможет восстановить файлы...
Для получения секретного ключа для этого ПК, который автоматически расшифрует файлы, вам нужно заплатить 0,3 биткоина (~210 USD).
Вы можете легко удалить эту программу, но знайте, что без неё, вы никогда не сможете получить исходные файлы обратно.
Отключите антивирус, чтобы предотвратить удаление этой программы.
Для информации о том, как купить и отправить биткоины, жмите "How to pay"
Не удаляйте этот список, он нужен для дешифрования. И не перемещайте ваши файлы.
Каждый раз, когда таймер обнуляется, сумма повышается.
После сделанной покупки ждите 1-3 часа для подтверждения приема биткоинов.
Потом жмите "Decrypt Files" для расшифровки своих файлов.

Перевод текста с правой части экрана: 
Сначала отправьте биткоин на этот адрес, а затем нажмите на синюю кнопку
Пошлите ровно 0,3 BTC по этому адресу:
Примечание: Вы должны отправить биткоины на этот адрес
Жмите здесь, если вы посылаете биткоины 
Примечание: Вы можете купить биткоины на этих сайтах для себя 
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://cex.io (UK)
xxxs://paxful.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
dynamiclinkmediaserver.exe
Ndamin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***www.filecrypter.in (138.201.207.84:80)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Обновление от 10 марта 2017:
Новое название: FileCrypter
Открыли FileCrypter Shop
Разрабатывают RaaS

Сайт: xxxx://filecrypter.in (138.201.207.84:80)
Статья MalwarebytesLabs >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *
 *
 Thanks: 
 R0bert R0senb0rg
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *