Crypt0 HT

Crypt0 HT Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Crypt0 Ransomware (написано в записке о выкупе и сайте вымогателей). На файле написано: BankInformation.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Crypt0 HT

Этимология названия:
Название Crypt0 Ransomware уже занято! Оно используется с 12 сентября 2016 г. Поэтому к нынешнему добавлено HT — сокращение от HiddenTear. 

Статья о прошлогоднем Crypt0 Ransomware >>

К зашифрованным файлам добавляется случайное расширение <random>

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Образцы, которыми располагают исследователи на данный момент, не производят шифрование. 

Записка с требованием выкупа называется: READ_IT.html

Содержание записки о выкупе:
You have been victim of Crypt0 Ransomware
All your important files, photos, videos, documents, databases, have been encrypted with AES-256 and AES-128
A file called "READ_IT.html" will be dropped on your Desktop follow the instructions on how to make the payment
You Have 6 days to make the payment or else all of your files will be lost!
Hurry up! 

Перевод записки на русский язык:
Вы стали жертвой Crypt0 Ransomware
Все ваши важные файлы, фото, видео, документы, базы данных были зашифрованы с помощью AES-256 и AES-128
Файл с именем "READ_IT.html" будет скинут на ваш рабочий стол, следуйте инструкциям о том, как сделать платеж
У вас есть 6 дней для оплаты, иначе все ваши файлы будут потеряны!
Поторопитесь!

Дополнительным информатором жертвы является веб-страница на сайте вымогателей.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.html
BankInformation.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, BleepingComputer
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.