CryptoSweetTooth Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, в переводе на русский "крипто-сладкоежка". В записке о выкупе написано как Crypto-SweetTooth. Фальш-имя: Bitcoin. Разработчик: Santiago. Краткое название: CryptoST.
© Генеалогия: HiddenTear >> CryptoSweetTooth
К зашифрованным файлам добавляется расширение .locked
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на испаноязычных и аргентинских пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
IMPORTANTE_LEER.html
RECUPERAR_ARCHIVOS.html
Содержание записки о выкупе:
SUS ARCHIVOS PERSONALES HAN SIDO CIFRADOS POR Crypto-SweetTooth
Sus fotos, videos, documentos y base de datos han sido cifrados por un poderoso algoritmo utilizando una clave única generada por esta computadora.
¿Cómo recuperar los archivos?
Para recuperar sus archivos cifrados y recibir instrucciones de seguridad para que esto no le vuelva a ocurrir, usted deberá realizar un pago de 0.5BTC y enviarlos a la siguiente dirección: ILLEoST***
Una vez realizado el pago usted deberá enviar un correo electrónico a con la dirección bitcoin que usted uso para enviar los fondos. Una vez verificado y confirmado se le responderá con el programa y contraseña para desencriptar los archivos.
¿Cómo comprar Bitcoins?
Si usted se encuentra en Argentina podrá comprar Bitcoins en las siguientes empresas:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
luego de haber realizado la compra desde cualquiera de las paginas mencionadas arriba, debera mandar los mismos a la direccion Bitcoin especificada al principio, marcada en color ROJO.
Перевод записки на русский язык:
Ваши личные файлы были зашифрованы с помощью Crypto-SweetTooth
Фото, видео, документы и базы данных были зашифрованы с помощью мощного алгоритма с помощью уникального ключа, сгенерированного этим компьютером.
Как восстановить файлы?
Чтобы восстановить ваши зашифрованные файлы и получить инструкции по безопасности чтобы этого не повторилось, вы должны произвести оплату 0.5 BTC и отправить их по следующему адресу: ILLEoST***
После оплаты вы должны отправить нам по email адрес, который вы использовали для отправки Bitcoin-средств. После проверки и подтверждения оплаты, мы ответим с программой и паролем для расшифровки файлов.
Как купить Bitcoins?
Если вы находитесь в Аргентине вы можете купить Bitcoins в следующих компаниях:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
После того, как сделали покупку на любой из страниц выше, следует отправить их на Bitcoin-адрес, указанный в начале, отмеченный красным цветом.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Для работы шифровальщика требуется наличие в системе .NET Framework 4.5.2.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
<random>.exe
Bitcoin.exe
bitcoin_factory_v1.0.2.exe
CryptoSweetTooth.exe
\Desktop\IMPORTANTE_LEER.html
\Desktop\IMPORTANTE_LEER2.html
\Desktop\IMPORTANTE_LEER3.html
\Desktop\IMPORTANTE_LEER4.html
\Documents\RECUPERAR_ARCHIVOS.html
\Pictures\RECUPERAR_ARCHIVOS.html
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***healty-site.000webhostapp.com/getinfo.php (153.92.11.86:80 - Германия)
cryptosweettooth@gmail.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up * *
Thanks: Michael Gillespie * * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.