PayDay HT Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп R$950 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 120 часов (5 суток). Название оригинальное, указано в заголовке html-страницы.
R$ - это бразильский реал (денежная единица Бразилии).
© Генеалогия: HiddenTear >> PayDay HT
К зашифрованным файлам добавляется расширение .sexy
Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: !!!!!ATENÇÃO!!!!!.html
Записка о выкупе в html-формате
Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.
O que fazer?
Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:
1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt
O que é Bitcoin:
Importante:
1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ;)
Перевод записки на русский язык:
Ваши файлы были похищены!
Все документы, базы данных, загрузки, фото и другие важные файлы были зашифрованы с алгоритмом AES (это шифрование, используемуе правительством США) с буквенно-цифровым паролем из 150 символов, генерируемых для данного компьютера и отправлены на секретный сервер в Интернете, где только у меня есть доступ.
Что делать?
Для получения этого пароля и декриптора файлов, вам придется заплатить сумму R$950,00 в BTC (Bitcoin). Для оплаты и получения пароля следуйте этому небольшому руководству:
1. Создайте BTC портфель здесь: *** blockchain.info/***
2. Купите R$950,00 BTC наличными деньгами: ***
3. Отправьте купленные BTCs на адрес: *****
4. Проследите передачу: *** blockchain.info/address/***
5. После подтверждения оплаты, пришлите мне по email запрашиваемый пароль: CATSEXY@PROTONMAIL.COM
6. После этого отправьте архив, содержащий два файла: один Decrypter в .exe и пароль в .txt
Что такое Bitcoin:
Важно:
1. Никто не может помочь вам, только я!
2. У вас есть только 120 часов (5 дней), чтобы сделать платеж, иначе я удалю пароль.
3. Бесполезно ставить / обновлять Антивирус, форматировать компьютер, делать заявление в полицейский участок и т.д.
4. Ваши файлы могут быть расшифрованы только после оплаты.
5. После того, как вы расшифруете ваши файлы, переформатируйте компьютер, установите хороший Антивирус и будьте более осторожны, когда кликаете ;)
Эпатажный фон записки о выкупе
Распространяется с помощью email-спама и вредоносных вложений (random.pdf.exe), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Шифрованию подвергаются файлы на Рабочем столе и в Загрузках.
Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
!!!!!ATENÇÃO!!!!!.html
hidden-tear.exe
(random.pdf.exe)
Фальш-имя: Adobe Reader
См. ниже результаты анализов.
Сетевые подключения и связи:
***acclivitous-operabi.000webhostapp.com/write.php&info=***
CatSexy@protonmail.com
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as PayDay) Write-up *
Thanks: BleepingComputer Michael Gillespie Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.