EnCrypt

EnCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляется расширение .en

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_THIS_FILE.txt

 Записка о выкупе (две страницы)

Содержание записки о выкупе:
  YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
---
 The only way to decrypt your files is to receive the private key and decryption program.
 To decrypt your files you need to buy the private key
 ---
                     HOW TO GET THE PRIVATE KEY?
 1. Create a Bitcoin Wallet (blockchain.info)
 2. Buy necessary amount of Bitcoins (50$)
    Do not forget about the transaction commission in the Bitcoin network
    Here are our recommendations:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading In Korea
    btcdirect.eu  - A good service for Europe
    bittylicious.com - Get BTC via Visa / MC or SEPA (EU) bank transfer
    localbitcoins.com - This service allows you to search for people that want to sell Bitcoins directly (WU, Cash, SEPA, Paypal, etc).
    cex.io - Buy Bitcoins using Visa / Mastercard or Wire Transfer.
    coincafe.com  - It is recommended for the fast and easy service. Payment methods: Western Union, Bank of America, cash through FedEx, Moneygram, and/or wire transfer
    bitstamp.net - Old and proven Bitcoin dealer
    coinmama.com  - Visa/Mastercard
    btc-e.com - Bitcoins dealer (Visa/Mastercard, etc.)
    Could not find Bitcoins in your region? Try searching here:
    buybitcoinworldwide.com  International catalog of Bitcoins exchanges
    bitcoin-net.com  - Another Bitcoins sellers catalog
    howtobuybitcoins.info - International catalog of Bitcoins exchanges
    bittybot.co/eu  - A catalog for the European Union
 3. Send 50$ to the following Bitcoin address:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Go to the following site:
        http://yfkhfomk3iqod5vb.onion 
 5. In there site insert:
    ID ([redacted])
    Your btc address (the same utilized for the payment)
    Your email address (to receive the key and the program for decrypt)
 6. Wait 24/48h and check your email (also the spam)
 ---
                     HOW TO ACCESS TO THE WEBSITE?
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open:
        http://yfkhfomk3iqod5vb.onion 
 Note! This page is available via "Tor Browser" only.
 ---
 Also you can use temporary addresses without using "Tor Browser".
 ---
 1. http://yfkhfomk3iqod5vb.tor2web.org
 2. http://yfkhfomk3iqod5vb.onion.link 
 3. http://yfkhfomk3iqod5vb.onion.nu 
 4. http://yfkhfomk3iqod5vb.onion.cab 
 5. http://yfkhfomk3iqod5vb.onion.to
 ---

Перевод записки на русский язык:
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
---
 Единственный способ расшифровать ваши файлы - получить закрытый ключ и программу дешифрования.
 Чтобы расшифровать ваши файлы, вам нужно купить закрытый ключ
 ---
                     КАК ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ?
 1. Создайте Биткоин-кошелек (blockchain.info)
 2. Купите нужное количество биткоинов (50 $)
    Не забывайте о транзакционной комиссии в Bitcoin-сети
    Вот наши рекомендации:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading в Корее
    Btcdirect.eu - Хороший сервис для Европы
    Bittylicious.com - Получите BTC через банковский перевод Visa / MC или SEPA (EU)
    Localbitcoins.com - Эта услуга позволяет вам искать людей, которые хотят напрямую продавать Bitcoins (WU, Cash, SEPA, Paypal и т.д.).
    Cex.io - Покупка биткоинов с использованием Visa / Mastercard или Wire Transfer.
    Совместимость - рекомендуется для быстрого и легкого обслуживания. Способы оплаты: Western Union, Bank of America, наличные деньги через FedEx, Moneygram и / или банковский перевод
    Bitstamp.net - Старый и проверенный дилер Bitcoin
    Coinmama.com - Visa / Mastercard
    Btc-e.com - Дилер Bitcoins (Visa / Mastercard и т. Д.)
    Не удалось найти биткоины в вашем регионе? Попробуйте найти здесь:
    Buybitcoinworldwide.com Международный каталог обменов биткоинами
    Bitcoin-net.com - Другой каталог продавцов биткоинов
    Howtobuybitcoins.info - Международный каталог обменов биткоинами
    Bittybot.co.eu - Каталог для Европейского Союза
 3. Отправьте 50$ на следующий биткоин-адрес:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Перейдите на следующий сайт:
        http://yfkhfomk3iqod5vb.onion
 5. Там размещён сайт:
    ID ([отредактирован])
    Ваш btc-адрес (тот же, что и для платежа)
    Ваш email-адрес (чтобы получить ключ и программу для расшифровки)
 6. Подождите 24/48 ч. и проверьте свой email (и папку "Спам")
 ---
                     КАК ПОЛУЧИТЬ ДОСТУП К ВЕБ-САЙТУ?
 1. Загрузите «Tor Browser» с https://www.torproject.org/ и установите его.
 2. В «Tor Browser» откройте:
        http://yfkhfomk3iqod5vb.onion
 Заметьте! Эта страница доступна только через Tor-браузер.
 ---
 Также вы можете использовать временные адреса без использования «Tor-браузера.

Начальная страница Tor-сайта

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_THIS_FILE.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
xxxx://yfkhfomk3iqod5vb.onion 
xxxx://yfkhfomk3iqod5vb.tor2web.org
xxxx://yfkhfomk3iqod5vb.onion.link 
xxxx://yfkhfomk3iqod5vb.onion.nu 
xxxx://yfkhfomk3iqod5vb.onion.cab 
xxxx://yfkhfomk3iqod5vb.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EnCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.