пятница, 20 апреля 2018 г.

Exocrypt XTC

Exocrypt XTC Ransomware

Exocrypt XTC Ransomware 2.0

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в £50 (фунтов стерлингов) в BTC, чтобы вернуть файлы. Оригинальное название: Exocrypt и Exocrypt XTC. На файле 1-й версии написано: Exocrypt.exe. На файле 2-й версии написано: Exocrypt XTC v2.0.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .xtc

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
All your personal files have been encrypted, your photos, videos and documents are no longer accessible, don't cry yet because I have not deleted them... Yet...
In order for me to decrypt your files for you, you must pay a small fee to the following bitcoin address, payment will only be accepted in bitcoin to insure anonymity... Try anything funny and your files will be permanantly encrypted forever.
Good luck.
👀
24:00:00
£50 in BTC *** [Decrypt]

Перевод записки на русский язык:
Все ваши личные файлы зашифрованы, ваши фото, видео и документы теперь недоступны, не плачьте, потому что я их не удалил... Пока...
Чтобы я расшифровал ваши файлы, вы должны заплатить мне немного денег на следующий биткоин-адрес, оплата принимается только в биткоинах, в целях анонимности ... Попробуете что-то отчудить и ваши файлы останутся зашифрованными навсегда.
👀
24:00:00
£50 в BTC *** [Decrypt]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Exocrypt.exe
XTC Decrypt0r.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Exocrypt XTC Ransomware
Exocrypt XTC Ransomware 2.0



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 апреля 2018:
Пост в Твиттере >>
Информационные сообщения >>


Обновление от 2 мая 2018:
Новая версия: Exocrypt XTC v2.0
Пост в Твиттере >>
Расширение: .xtc
Файлы: Exocrypt XTC v2.0.exe
DO_NOT_DELETE
DO_NOT_DELETE.xtc
XTCipher_Decrypt
XTCipher_Encrypt
XTCipher_Key
BTC: 14pwAhmcC4PLcLQuMTDaLMsc4ThzHZycxK

Содержание текста в экране блокировки:
Your Personal Files Are Encrypted!
!THIS RANSOMWARE WAS MADE FOR EDUCATIONAL PURPOSES, WE WILL NOT SEND OUT ANY COPIES OF THIS VIRUS, UNLESS IT IS FOR FORENSIC PURPOSES!
Q: What is happening to my computer?
A: All your personal files have been encrypted with a military grade encryption algorithm (AES-256 x2), basically all your files are inaccessible.
Q: How can I recover my files?
A: You can't, unless you pay the fee which is stated below.
Q: How can I trust you?
A: We can't make you trust us, but are you willing to take the risk? After all, It's your files that have been encrypted.
Q: How can I pay the fee?
A: Payment will only be accepted in bitcoin to ensure anomity. Once you have your bitcoin ready, send £50 worth of bitcoin address specified below. 
---
Содержание текста после расшифровки:
Your files have been decrypted, hope to see you soon ;)
Результаты анализов: HA + VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Exocrypt XTC)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton