воскресенье, 15 октября 2017 г.

CryptoDemo

CryptoDemo Ransomware

(демо-вымогатель)


Этот демонстрационный крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: CryptoDemo. На файле написано: CryptoDemo.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoDemo. Начало. 

К незашифрованным файлам никакое расширение не добавляется.

Релиз этого демонстрационного крипто-вымогателя пришелся на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает понять его другим.

Запиской с требованием выкупа выступает экран блокировки. Так как это демонстрационная программа, то поэтому его можно просто закрыть. 

Содержание текста с экрана:
Your personal files are encrypted!
Your personal files are encrypted
Your important files were encrypted on this computer: photos, videos, documents, etc.
You can verify this by click on see files and try to open them.
Encryption was produced using unique public key RSA-4096 generated for this computer. To decrypt files you need to obtain private key.
The single copy of the private key, which will allow you to decrypt the files is located on a secret server on the Internet.
the server will destroy the key within 12 hours after encryption completed.
After that nobody and never will be able to restore files.
To retrieve the private key. you need to pay 0.5 bitcoins.
Any attempt to remove or damage this software will lead to immediate private key destruction by server.
Your files will be lost without payment on:
9/29/2017 5:33:39 AM
[See Files]
[Proceed to payment]

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши личные файлы зашифрованы
Ваши важные файлы были зашифрованы на этом компьютере: фото, видео, документы и т.д.
Вы можете проверить это, щелкнув по "See Files" и попытаться их открыть.
Шифрование сделано с помощью уникального открытого ключа RSA-4096, созданного для этого компьютера. Чтобы расшифровать файлы, вам надо получить секретный ключ.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете.
Сервер уничтожит ключ через 12 часов после завершения шифрования.
После этого никто и никогда не сможет восстановить файлы.
Чтобы получить закрытый ключ, вам нужно заплатить 0.5 биткоина.
Любая попытка удалить или повредить это программное обеспечение приведет к немедленному уничтожению личного ключа сервером.
Ваши файлы будут потеряны без оплаты:
29/9/2017 в 5:33:39 утра
[См. Файлы]
[Перейти к оплате]



Технические детали

Если кто-то задумает прикрутить к нему настоящий крипто-вымогатель, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Часть кода демо-вымогателя

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoDemo.exe

Расположения:
C:\Demo\Crypt\CryptoDemo

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: нет данных.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton