CryptoDemo Ransomware
(демо-вымогатель)
Этот демонстрационный крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: CryptoDemo. На файле написано: CryptoDemo.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: CryptoDemo. Начало.
К незашифрованным файлам никакое расширение не добавляется.
Релиз этого демонстрационного крипто-вымогателя пришелся на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает понять его другим.
Запиской с требованием выкупа выступает экран блокировки. Так как это демонстрационная программа, то поэтому его можно просто закрыть.
Содержание текста с экрана:
Your personal files are encrypted!
Your personal files are encrypted
Your important files were encrypted on this computer: photos, videos, documents, etc.
You can verify this by click on see files and try to open them.
Encryption was produced using unique public key RSA-4096 generated for this computer. To decrypt files you need to obtain private key.
The single copy of the private key, which will allow you to decrypt the files is located on a secret server on the Internet.
the server will destroy the key within 12 hours after encryption completed.
After that nobody and never will be able to restore files.
To retrieve the private key. you need to pay 0.5 bitcoins.
Any attempt to remove or damage this software will lead to immediate private key destruction by server.
Your files will be lost without payment on:
9/29/2017 5:33:39 AM
[See Files]
[Proceed to payment]
Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши личные файлы зашифрованы
Ваши важные файлы были зашифрованы на этом компьютере: фото, видео, документы и т.д.
Вы можете проверить это, щелкнув по "See Files" и попытаться их открыть.
Шифрование сделано с помощью уникального открытого ключа RSA-4096, созданного для этого компьютера. Чтобы расшифровать файлы, вам надо получить секретный ключ.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете.
Сервер уничтожит ключ через 12 часов после завершения шифрования.
После этого никто и никогда не сможет восстановить файлы.
Чтобы получить закрытый ключ, вам нужно заплатить 0.5 биткоина.
Любая попытка удалить или повредить это программное обеспечение приведет к немедленному уничтожению личного ключа сервером.
Ваши файлы будут потеряны без оплаты:
29/9/2017 в 5:33:39 утра
[См. Файлы]
[Перейти к оплате]
Технические детали
Если кто-то задумает прикрутить к нему настоящий крипто-вымогатель, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Часть кода демо-вымогателя
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CryptoDemo.exe
Расположения:
C:\Demo\Crypt\CryptoDemo
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: нет данных.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Lawrence Abrams Karsten Hahn * *
© Amigo-A (Andrew Ivanov): All blog articles.
