BancoCrypt HT Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10 через PAYZA, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Banco. Разработчик: Jhash.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: HiddenTear >> BancoCrypt HT
К зашифрованным файлам добавляется расширение .locky
Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Исследователи сообщили о венесуэльском происхождении вымогателя.
Записки с требованием выкупа называются:
Leeme_Nota_de_Rescate.txt
READ_IT.txt
Содержание записок о выкупе:
Despus de eso, te enviaremos los pasos a seguir para recuperar tus preciados archivos.
Esta computadora ha sido hackeada
Tu informacion personal ha sido encriptada. Envianos 10 dlares por medio de PAYZA a la siguiente direccin de pago: jhash.bancaenlinea@zoho.com , y al mismo correo enviaras un capture de la transaccin.
Despus de eso, te enviaremos los pasos a seguir para recuperar tus preciados archivos.
Un paso en falso y perders todos tus archivos, no te equivoques,
Jhash
***
Tu informacion personal ha sido encriptada. Envianos 10 dlares por medio de PAYZA a la siguiente direccin de pago: jhash.bancaenlinea@zoho.com , y al mismo correo enviaras un capture de la transaccin.
Un paso en falso y perders todos tus archivos, no te equivoques,
Jhash
Перевод записок на русский язык:
После этого мы отправим вам шаги для восстановления ваших ценных файлов.
Этот компьютер взломан
Ваша личная информация зашифрована. Отправьте нам $10 через PAYZA на следующий адрес оплаты: jhash.bancaenlinea@zoho.com, и по тому же адресу отправьте скриншот транзакции.
После этого мы отправим вам шаги для восстановления ваших ценных файлов.
Один неверный шаг, и вы потеряете все свои файлы, не ошибитесь,
Jhash
***
Ваша личная информация была зашифрована. Отправьте нам $10 через PAYZA на следующий адрес оплаты: jhash.bancaenlinea@zoho.com, и по тому же адресу отправьте скриншот транзакции.
Один неверный шаг, и вы потеряете все свои файлы, не ошибитесь,
Jhash
Более наглядным информатором жертвы выступает изображение ransom.jpg, которое загружается с сайта imgur.com и встаёт обоями Рабочего стола.
Содержание текста с обоев:
No debes asustarte...
Pero hemos bloqueado todos
Tus archivos de manera que sean
Inutilizables.
Si quieres desbloquearlos...
Abre el Archivo Leeme.txt
Que está en tu escritorio.
Y sigue cuidadosamente
Las Instrucciones.
Un paso en Falso y Será un daño
Irreparable.
Перевод на русский язык:
Вы не должны пугаться ...
Но мы заблокировали все
Ваши файлы, чтобы они были
Непригодны.
Если вы хотите разблокировать их...
Откройте файл Leeme.txt
Что на вашем столе
И внимательно следуйте
Инструкции
Один неверный шаг и ущерб будет
Невосполним.
.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Leeme_Nota_de_Rescate.txt
READ_IT.txt
local.exe
<random>.exe
ransom.jpg
Расположения:
\\Desktop\\Leeme_Nota_de_Rescate.txt
\\Desktop\\READ_IT.txt.locky
\\Rand123\\local.exe
\\ransom.jpg
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: jhash.bancaenlinea@zoho.com
xxxxs://imgur.com/nPcEpO8.png - загружаемая картинка встаёт обоями Рабочего стола
xxxxs://app-1509153828.000webhostapp.com/write.php
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: MalwareHunterTeam * * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.