четверг, 22 июня 2017 г.

PSCrypt

PSCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2500 гривен в BTC, чтобы вернуть файлы. Оригинальное название: PSCrypt. Идентифицируется сервисом IDR в составе семейства GlobeImposter 2.0. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter 2.0 > PSCrypt


К зашифрованным файлам добавляется расширение .pscrypt

Активность этого крипто-вымогателя пришлась на вторую половину июня 2017 г. Ориентирован на украинских пользователей, что не мешает распространять его по всему миру. 
Сервис ID Ransomware зафиксировал пострадавших из Украины, России и Нидерландов. 

Записка с требованием выкупа называется: Paxynok.html (от слова "рахунок" - это "счёт" на украинском).
PSCrypt

Содержание записки о выкупе:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШІ ФАЙЛИ ТИМЧАСОВО НЕДОСТУПНІ.
ВСІ ВАШІ ДАНІ БУЛИ ЗАШІВРОВАННИ!
Для відновлення даних потрібно дешифратор.
Щоб отримати дешифратор, ви повинні:
Оплатити послуги розшифровки:
Оплата відбувається за коштами біткойн (BTC):
Вартість послуги складає 2500 гривень
Оплату можна провести в терміналі IBox.
Інструкція по оплаті:
1. Знайти найближчий термінал Айбокс Айбокс
за допомогою рядка пошуку знайти сервіс «Btcu.biz».
2. Ввести свій номер телефону.
3. Внести суму 2500 грн
4. Роздрукувати і зберегти чек.
5. Зайти на сайт btcu.biz.
6. У розділі «Купити» => «За готівку в терміналі» ввести код з чека (підкреслять червоним), ввести капчу, ознайомитися і погодитися з Умовами використання і натиснути кнопку «Оплатити». 
---
Переконатися, що код прийнятий і сума збігається з внесеної в термінал.
7. Після того, як код був коректно прийнятий системою, натисніть «Далі» для вибору способу отримання коштів.
---
8. Виберіть розділ «Поповнити ВТС-адреса», введіть адресу - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY і капчу, натисніть кнопку «Відправити».
---
9. Після оплати:
Надіслати скріншот платежу на systems64x@tutanota.com
У листі вкажіть свій особистий ідентифікатор (подивіться на початок цього документа).
10. Після отримання дешифратора і інструкцій, зможете продожам роботу.
Додаткова інформація:
Програма можемо дешифрувати один файл як доказ того, що у неї є декодер. Для цього необхідно надіслати зашифрований файл на пошту: systems64x@tutanota.com 
Увага!
Ні оплати = Немає розшифровки
Ви дійсно отримуєте дешифратор після оплати
Не намагайтеся видалити програму або запустити антивірусні інструменти
Спроби самодешіфрованія файлів приведуть до втрати ваших даних
Декодери інших користувачів не сумісні з вашими даними, оскільки унікальний ключ шифрування кожного користувача.
З повагою.

Примерный перевод записки на английский язык (in English):
YOUR PERSONAL IDENTIFIER
13 69 9B 5F 1E ***
YOUR FILES ARE TEMPORARILY UNAVAILABLE.
ALL YOUR DATA HAS BEEN ENCRYPTED!
To recover data you need decryptor.
To get the decryptor you should:
The payment is made from bitcoin (BTC):
The cost of the service is 2500 UAH
Payment can be made in the IBox terminal.
Payment instruction:
1. Find the nearest Aybox Aibox terminal
Use the search bar to find the service "Btcu.biz".
2. Enter your phone number.
3. Make the amount of 2500 UAH.
4. Print and save the receipt.
5. Login to btcu.biz.
6. In the "Buy" => "For cash in the terminal" section, enter the code from the check (underlined in red), enter the captcha, read and agree to the Terms of Use and click the "Pay" button.
check
Make sure that the code is accepted and the amount is the same as that entered in the terminal.
7. After the code was correctly accepted by the system, click "Next" to select the method of receiving funds.
Site
8. Select the section "Add to the BTC address", enter the address - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY and captcha, press the "Send" button.
Site2
9. After payment:
Send a screenshot of the payment to systems64x@tutanota.com
In the letter, enter your personal identifier (see the beginning of this document).
10. After receiving the decoder and instructions, you can continue to work.
Additional Information:
The program can decrypt one file as proof that it has a decoder. To do this, send an encrypted file to the mail: systems64x@tutanota.com
Attention!
No payment = No decryption
You really get the decoder after payment
Do not try to remove the program or run antivirus tools
Attempts to self-decrypt files will result in the loss of your data
Other users' decoders are not compatible with your data, as the unique encryption key for each user.
Regards.

Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШИ ФАЙЛЫ ВРЕМЕННО НЕДОСТУПНЫ.
ВСЕ ВАШИ ДАННЫЕ БЫЛИ ЗАШИФРОВАНЫ!
Для восстановления данных нужен дешифратор.
Чтобы получить дешифратор, вы должны:
Оплатить расшифровку:
Оплата делается из средств биткоин (BTC):
Стоимость услуги составляет 2500 гривен
Оплату можно сделать в терминале IBox.
Инструкция по оплате:
1. Найти ближайший терминал Айбокс Айбокс
с помощью строки поиска найти сервис «Btcu.biz».
2. Ввести свой номер телефона.
3. Внести сумму 2500 гривен.
4. Распечатать и сохранить чек.
5. Войти в btcu.biz.
6. В разделе «Купить» => «За наличные в терминале" ввести код с чека (подчеркнут красным), ввести капчу, ознакомиться и согласиться с Условиями использования и нажать кнопку «Оплатить».
---
Убедиться, что код принят и сумма совпадает с внесенной в терминал.
7. После того, как код был корректно принят системой, нажмите «Далее» для выбора способа получения средств.
---
8. Выберите раздел «Пополнить ВТС-адрес», введите адрес - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY и капчу, нажмите кнопку «Отправить».
---
9. После оплаты:
Отправьте скриншот платежа на systems64x@tutanota.com
В письме укажите свой личный идентификатор (смотрите в начале этого документа).
10. После получения дешифратора и инструкций, сможете продолжить работу.
Дополнительная информация:
Программа можем дешифровать один файл как доказательство того, что у нее есть декодер. Для этого необходимо прислать зашифрованный файл на почту: systems64x@tutanota.com 
Внимание!
Нет оплаты = Нет расшифровки
Вы действительно получите дешифратор после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, поскольку уникальный ключ шифрования у каждого пользователя.
С уважением.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paxynok.html
wmodule.exe
<random>.exe
<random>.tmp

Расположения:
%TEMP%\<random>.tmp
\AppData\Roaming\Microsoft\random\<random>.exe
\User_folders\Paxynok.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systems64x@tutanota.com
systems32x@gmail.com
BTC: 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PSCrypt)
 Write-up, Topic of Support
 Video review
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Alex Svirid
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!

1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

19 комментариев:

  1. Всем привет!
    Вчера просочился данный вирус на мой ПК. Теперь после переустановки винды ищу способ как расшифровать файлы.

    ОтветитьУдалить
    Ответы
    1. Не надо искать. Пока рано говорить о дешифровке. Сейчас дешифровщик может быть только у вымогателей, запустивших этот вредонос. Если вдруг появится, здесь будет ссылка на него. У саморекламирующихся махинаторов, орущих о том, что они могут дешифровать, его нет и не будет, т.к. не существует никаких уникальных универсальных методик дешифровки.

      Удалить
    2. Зашифрованные файлы пока лучше собрать в одном месте. Может пройти месяц, полгода или год, когда утекут ключи шифрования/дешифрования и появится возможность дешифровать файлы.

      Удалить
  2. прикол в том что указанный мошенниками почтовый адрес удален. они передали эстафету. на просторах инета нашел другой адресс, списался с ними и все таки рискнул заплатить. получил шдешифратор и открыл все файлы. но оказалось что у меня поработало два их шифровальщика. в файле рахунок наверху указан идентификатор. половина файлов рабочие, а по поводу второй половины веду переговоры чтобы не платить еще раз

    ОтветитьУдалить
  3. Только что появился txt файл на рабочем столе со следующим текстом:
    Добрый день! Если ваши файлы зашифрованы, и вы обращались за дешифратором по адреру, указанному в счете - systems64x@tutanota.com
    Уведомляем вас что этот адрес более не доступен! Ничего не пишите туда!
    Выдача дешифраторов, общение, тесты, теперь только по следующим адресам:
    systems32x@yahoo.com
    systems32x@gmail.com
    Данное уведомление можно закрыть, убрав его из процессов.
    С уважением Администрация.

    ОтветитьУдалить
  4. Новый емейл systems32x@gmail.com нашел его вот здесь https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-pscrypt-extension-ransomware-support-topic/page-2

    прислали дешивратор для PSCrypt.

    ОтветитьУдалить
    Ответы
    1. Подскажите где вы достали дешифровщик!

      Удалить
  5. Подскажите, пожалуйста, а будет дешифратор?

    ОтветитьУдалить
  6. Уважаемый "Unknown 29 июня 2017 г., 14:24", предлагаю купить у Вас дешифратор. Если у Вас есть желание помочь брату по несчастью, тогда пишите jafarzp@yandex.ru

    ОтветитьУдалить
  7. Всем привет!Подскажите, появился дешифратор?

    ОтветитьУдалить
    Ответы
    1. Отдельного дешифратора, который подходил бы всем, пока нет.

      Удалить
  8. Помогите расшифровать файлы .pscrypt ( легло 500 гБ семейных фото на домашнем компе под Windows Xp). На удивление файлы в Моих документах и на рабочем столе не были зашифрованы). Есть файлы одинаковые шифрованные и не шифрованные. Все предложения на почту flexyhome@gmail.com С ув. Павел +380970164747 (украина Киев)

    ОтветитьУдалить
  9. Помогите дешифровать файлы ( важное 500 Гб семейных фото) расширение .pscrypt. есть в наличии шифрованные и нешифрованные ( на флехе) однотипные файлы. Вирус не успел шифронуть Мой документы и рабочий стол (Windows XP). Нарушен MBR загрузочного (320 Гб)- логическая структура папок видна и boot дополнительного (2Тб)- восстанавливал с помощью RS recovery NTFS. Помогите пож.- семейная история в фото 7 лет уже недоступна ( осталась частичная на внешних носителях) . С ув. Тищенко Павел +380970164747 (Украина Киев) flexyhome@gmail.com

    ОтветитьУдалить
    Ответы
    1. Сочувствую, но могу посоветовать только топик поддержки:
      https://www.bleepingcomputer.com/forums/t/649867/pscrypt/

      Удалить
  10. У меня случай такой же как у вас с малой поправкой. у меня остался UUID внутри вторая часть которая указана в конце каждого файла с расширением .pscrypt, еще набор букво-циферок Вроде как и есть изначальные данные для шифровки насколько я понимаю. Может кто поделится дешифратором? Может его можно переделать?)) жаль нельзя файлы прикреплять (может есть но я не вижу), а спамить без толку тоже не охота. и само тело этого красавца осталось, провел анализ на hybrid-analysis он действительно вызывает GUID он же UUID функцию в начале работы. Прискорбно только что от 0-10 миллиардов лет уйдет на перебор 1 случая.

    ОтветитьУдалить
  11. После оплаты, в этот же день получил дешифратор, сейчас идет процесс дешифрации, дешифратор запускал с Live CD. Общался по адресу systems32x@gmail.com

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton