CryptoJacky Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250 Евро в биткоинах, чтобы вернуть файлы. Оригинальное название: CryptoJacky v2.0. Позже добавлена версия 3.0. Разработчик: paulej.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
Шифрует только файлы с расширением .xxx, добавляя затем к ним расширение .aes.
Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
ransom-instructions.lnk - записка о выкупе (1);
ransom-information.lnk - записка о выкупе (2);
ransom-payment.url - ссылка на сайт оплаты.
Скриншоты 2-й и 3-й версий (скриншот 3-й версии справа)
(1) rescate de archivos-instrucciones
Para comprar la contraseña haga click en el ícono "ransom-payment". Una vez abierto el link seleccione arriba del cuadro "list" y luego en la columna de la izquierda la opción con la que va a pagar, en la derecha seleccione bitcoins. Cliquee "Find the best rate". Vaya a alguno de los sitios que aparecerán a la derecha y compre EUR 250 de bitcoins a la siguiente dirección (con click dere- cho y luego pegar será ingresada donde quiera): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
Una vez hecho el pago hágamelo saber enviandome un correo a la siguiente dirección: ransom_ph@mail2noble.com
Siendo así, le será enviada la contraseña.
Haga click en "ransom of files" e ingrésela.-
(2) rescate de archivos-informacíon
Ransom_ph! ha detectado actividad inmoral en sus hábitos online y/o en su equi- po, siendo así me he visto en la obligación de retener sus archivos personales. Si usted desea comprar la contraseña para recuperar el control de los mismos, sirva- se seguir las intrucciones cliqueando en el archivo "ransom-instructions" que se- rá creado en el escritorio para tal fin. Nota: son tres íconos los que se crearán, si alguno no apareciera, por favor haga click con el botón derecho del mousey seguidamente en actualizar.
Перевод записки на русский язык:
(1) спасение файлов - инструкции
Чтобы купить пароль, нажмите на значок "ransom-payment". После открытия окна выше выберите ссылку "list", а затем в левой колонке вариант, которым будете платить, справа выберите Bitcoins. Нажмите кнопку "Find the best rate". Перейдите на любой из сайтов, которые появятся справа и купить EUR 250 Bitcoins по следующему адресу (скопируйте правой кнопкой мыши, а затем вставьте туда): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
После оплаты, дайте мне знать, отправив мне письмо на следующему email-адрес: ransom_ph@mail2noble.com
В таком случае, вам будет выслан пароль.
Нажмите на "ransom of files" и введите его. -
(2) спасение файлов - информация
Ransom_ph! была обнаружена аморальным активность в ваших онлайн-привычках и / или на вашем компьютере, потому я был вынужден заблокировать ваши личные файлы. Если вы хотите купить пароль, чтобы восстановить контроль над ними, пожалуйста, следуйте инструкциям, нажав на значок "ransom-instructions", который будет создан для этой цели на рабочем столе. Примечание: Будут созданы три значка, если они не появились, пожалуйста, нажмите правую кнопку мышки, затем выберите "Обновить".
Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Для шифрования использует утилиту aescrypt.exe.
Список файловых расширений, подвергающихся шифрованию:
в версии 2.0 только файлы .xxx
в версии 3.0 файлы: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения).
Файлы, связанные с этим Ransomware:
cryptoJacky-setup.exe
cryptojacky.exe
aescrypt.exe
run.exe
ransom-information.lnk
ransom-instructions.lnk
ransom-payment.url
ransomware-c.exe
ransomware-d.cmd
<random>.exe
<random>.vbs
<random>.tmp
<random>.bat
<random>.scr
и другие. см. ниже.
Расположения:
\Desktop\ransom-payment.url
%APPDATA%\r_tool\
%APPDATA%\r_tool\aescrypt.exe
%APPDATA%\r_tool\cts-input.vbs
%APPDATA%\r_tool\cts-input_error.vbs
%APPDATA%\r_tool\file_extensions.txt
%APPDATA%\r_tool\ransom-information.vbs
%APPDATA%\r_tool\ransom-instructions.vbs
%APPDATA%\r_tool\ransom-thanks.vbs
%APPDATA%\r_tool\ransomware-c.exe
%APPDATA%\r_tool\ransomware-d.cmd
%APPDATA%\r_tool\Uninstall.exe
%APPDATA%\r_tool\fake-message.vbs
%APPDATA%\r_tool\rescue-of-files.exe
%APPDATA%\r_tool\rescue-thanks.vbs
%APPDATA%\r_tool\run.exe
%APPDATA%\r_tool\ms-windows_update.exe
%APPDATA%\r_tool\file_extensions.txt
и другие (см. гибридный анализ).
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
www.bestchange.com
ransom_ph@mail2noble.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ версия 2.0 >>
VirusTotal анализ версия 3.0 >>
Malwr анализ >>
Обновление от 29 марта 2017:
Версия: 3.0. Распространяется под видом фальшивых инсталляторов.
Файлы: Windows_10_Firewall_Control.exe, HHD_Software_Hex_Editor_Neo_Ultimate_Edition_6.22.00.exe и пр.
Скриншот: (см. выше, рядом со скриншотами предыдущей версии).
Фальш-копирайт: Microsoft Corporation
Список файловых расширений: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения).
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
© Amigo-A (Andrew Ivanov): All blog articles.
После оплаты, дайте мне знать, отправив мне письмо на следующему email-адрес: ransom_ph@mail2noble.com
В таком случае, вам будет выслан пароль.
Нажмите на "ransom of files" и введите его. -
(2) спасение файлов - информация
Ransom_ph! была обнаружена аморальным активность в ваших онлайн-привычках и / или на вашем компьютере, потому я был вынужден заблокировать ваши личные файлы. Если вы хотите купить пароль, чтобы восстановить контроль над ними, пожалуйста, следуйте инструкциям, нажав на значок "ransom-instructions", который будет создан для этой цели на рабочем столе. Примечание: Будут созданы три значка, если они не появились, пожалуйста, нажмите правую кнопку мышки, затем выберите "Обновить".
Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Для шифрования использует утилиту aescrypt.exe.
Список файловых расширений, подвергающихся шифрованию:
в версии 2.0 только файлы .xxx
в версии 3.0 файлы: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения).
Файлы, связанные с этим Ransomware:
cryptoJacky-setup.exe
cryptojacky.exe
aescrypt.exe
run.exe
ransom-information.lnk
ransom-instructions.lnk
ransom-payment.url
ransomware-c.exe
ransomware-d.cmd
<random>.exe
<random>.vbs
<random>.tmp
<random>.bat
<random>.scr
и другие. см. ниже.
Расположения:
\Desktop\ransom-payment.url
%APPDATA%\r_tool\
%APPDATA%\r_tool\aescrypt.exe
%APPDATA%\r_tool\cts-input.vbs
%APPDATA%\r_tool\cts-input_error.vbs
%APPDATA%\r_tool\file_extensions.txt
%APPDATA%\r_tool\ransom-information.vbs
%APPDATA%\r_tool\ransom-instructions.vbs
%APPDATA%\r_tool\ransom-thanks.vbs
%APPDATA%\r_tool\ransomware-c.exe
%APPDATA%\r_tool\ransomware-d.cmd
%APPDATA%\r_tool\Uninstall.exe
%APPDATA%\r_tool\fake-message.vbs
%APPDATA%\r_tool\rescue-of-files.exe
%APPDATA%\r_tool\rescue-thanks.vbs
%APPDATA%\r_tool\run.exe
%APPDATA%\r_tool\ms-windows_update.exe
%APPDATA%\r_tool\file_extensions.txt
и другие (см. гибридный анализ).
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
www.bestchange.com
ransom_ph@mail2noble.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ версия 2.0 >>
VirusTotal анализ версия 3.0 >>
Malwr анализ >>
Обновление от 29 марта 2017:
Версия: 3.0. Распространяется под видом фальшивых инсталляторов.
Файлы: Windows_10_Firewall_Control.exe, HHD_Software_Hex_Editor_Neo_Ultimate_Edition_6.22.00.exe и пр.
Скриншот: (см. выше, рядом со скриншотами предыдущей версии).
Фальш-копирайт: Microsoft Corporation
Список файловых расширений: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения).
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as CryptoJacky) Write-up, Topic *
Thanks: Jiri Kropac Michael Gillespie 0x4574N4 Karsten Hahn
© Amigo-A (Andrew Ivanov): All blog articles.
Спасибо. Добавил.
ОтветитьУдалитьСегодня добавил данные 3-й версии. Уже шифрует гораздо больше файлов.
ОтветитьУдалить