Crypto_Lab Ransomware
CryptoLab-16 Ransomware
(шифровальщик-вымогатель)
Translation into English
© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)
К зашифрованным файлам добавляется составное расширение по шаблону .<email_ransom>-<random_ID{16}>
На данный момент так: .cde@onionmail.info-<random_ID{16}>
Примеры зашифрованных файлов:
document.doc.cde@onionmail.info-549d9d95435daeab
document.html.cde@onionmail.info-306afa0d68ca9dc3
Активность этого крипто-вымогателя пришлась на первую и вторую половину сентября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: Crypto_Lab.txt
Разбрасывается по всем папкам с зашифрованными файлами.
Содержание записки о выкупе:
Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: cde@onionmail.info
Ваш код для разблокировки: 34567890
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
1. Попробуйте написать нам с других емеил, mail.ru, yandex.ru;
2. Попробуйте написать через время.
Так же можете создать тему на форумах антивируса, например на xxxxs://virus.info/forumdisplay.php?f=46 ,
укажите свою почту и мы с Вами свяжемся.
------------------------------------------------------------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------
Перевод записки на английский язык (in English):
All your information on this computer has been encrypted.
To decrypt refer to the contacts listed below.
------------------------------------------------------------
e-mail: cde@onionmail.info
Your code for unlock: 34567890
-----------------------------------
If you receive an answer that the mailing address does not exist:
1. Try to write to us from other emil, mail.ru, yandex.ru;
2. Try to write via the time.
You can also create a topic on anti-virus forums, for example on xxxxs://virus.info/forumdisplay.php?f=46 ,
specify your mail and we will contact you.
------------------------------------------------------------
You will receive all instructions in the reply letter.
------------------------------------------------------------
Примечательно, что адрес форума на VirusInfo в записке указан неправильный - virus.info.
Правильный адрес: www.virusinfo.info/forumdisplay.php?f=46
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Все файлы, возможно, кроме .dll, .exe.
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.
Файлы, связанные с этим Ransomware:
Crypto_Lab.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cde@onionmail.info
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
AMBA Family (семейство AMBA):
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - август 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
См. выше Историю семейства.
См. выше Историю семейства.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author) victims of the attack ransomware * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.