суббота, 14 января 2017 г.

CryptoSweetTooth

CryptoSweetTooth Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, в переводе на русский "крипто-сладкоежка". В записке о выкупе написано как Crypto-SweetTooth. Фальш-имя: Bitcoin. Разработчик: Santiago. Краткое название: CryptoST. 

© Генеалогия: HiddenTear >> CryptoSweetTooth

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на испаноязычных и аргентинских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANTE_LEER.html
RECUPERAR_ARCHIVOS.html

Содержание записки о выкупе:
SUS ARCHIVOS PERSONALES HAN SIDO CIFRADOS POR Crypto-SweetTooth
Sus fotos, videos, documentos y base de datos han sido cifrados por un poderoso algoritmo utilizando una clave única generada por esta computadora.
¿Cómo recuperar los archivos?
Para recuperar sus archivos cifrados y recibir instrucciones de seguridad para que esto no le vuelva a ocurrir, usted deberá realizar un pago de 0.5BTC y enviarlos a la siguiente dirección: ILLEoST***
Una vez realizado el pago usted deberá enviar un correo electrónico a con la dirección bitcoin que usted uso para enviar los fondos. Una vez verificado y confirmado se le responderá con el programa y contraseña para desencriptar los archivos.
¿Cómo comprar Bitcoins?
Si usted se encuentra en Argentina podrá comprar Bitcoins en las siguientes empresas:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
luego de haber realizado la compra desde cualquiera de las paginas mencionadas arriba, debera mandar los mismos a la direccion Bitcoin especificada al principio, marcada en color ROJO.

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы с помощью Crypto-SweetTooth
Фото, видео, документы и базы данных были зашифрованы с помощью мощного алгоритма с помощью уникального ключа, сгенерированного этим компьютером.
Как восстановить файлы?
Чтобы восстановить ваши зашифрованные файлы и получить инструкции по безопасности чтобы этого не повторилось, вы должны произвести оплату 0.5 BTC и отправить их по следующему адресу: ILLEoST***
После оплаты вы должны отправить нам по email адрес, который вы использовали для отправки Bitcoin-средств. После проверки и подтверждения оплаты, мы ответим с программой и паролем для расшифровки файлов.
Как купить Bitcoins?
Если вы находитесь в Аргентине вы можете купить Bitcoins в следующих компаниях:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
После того, как сделали покупку на любой из страниц выше, следует отправить их на Bitcoin-адрес, указанный в начале, отмеченный красным цветом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для работы шифровальщика требуется наличие в системе .NET Framework 4.5.2. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
Bitcoin.exe
bitcoin_factory_v1.0.2.exe
CryptoSweetTooth.exe
\Desktop\IMPORTANTE_LEER.html
\Desktop\IMPORTANTE_LEER2.html
\Desktop\IMPORTANTE_LEER3.html

\Desktop\IMPORTANTE_LEER4.html
\Documents\RECUPERAR_ARCHIVOS.html
\Pictures\RECUPERAR_ARCHIVOS.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***healty-site.000webhostapp.com/getinfo.php (153.92.11.86:80 - Германия)
cryptosweettooth@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *