CryTekk Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $40 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Представляет собой гибрид вымогателя с фишингом.
© Генеалогия: ✂ HiddenTear + trash
К зашифрованным файлам добавляется расширение: .locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке.
Записка с требованием выкупа называется: README.html
Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED!
Dear victim:
Files have been encrypted! and Your computer has been limited!
To unlock your PC you must pay with one of the payment methods provided, we regularly check your activity of your screen and to see if you have paid. Paypal automatically sends us a notification once you've paid. But if it dosen't unlock your PC upon payment contact us
(CryTekk@protonmail.com)
Reference Number: CT-*******
When you pay via BTC, send us an email following your REF Number if your PC dosen' unencrypt. Once you pay, Your PC will be decrypted.
However if you don't within 14 days we will continue to infect your PC and extract all your data and use it
Google 'how to buy/pay with bitcoin' if you don't know how. To pay by
bitcoin: send $40 to your unique bitcoin address b>
34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb
Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАПИСАНЫ!
Дорогой пострадавший:
Файлы зашифрованы! и Ваш компьютер ограничен!
Чтобы разблокировать компьютер, вы должны заплатить за него одним из представленных способов оплаты. Мы регулярно проверяем вашу активность на экране и проверяем, платили ли вы. Paypal автоматически отправляет нам уведомление, как только вы заплатите. Но если он не разблокирует ваш компьютер при оплате, свяжитесь с нами
(CryTekk@protonmail.com)
Reference номер: CT-*******
Когда вы сделаете оплату через BTC, отправьте нам email после REF-номера, если ваш компьютер не был расшифрован. Как только вы заплатите, Ваш компьютер будет расшифрован.
Но, если вы этого не сделаете в течение 14 дней, мы продолжим заражать ваш компьютер, извлекать все ваши данные и использовать их.
Гуглите "как купить / оплатить с помощью биткоинов", если вы не знаете, как. Платити биткоинами: отправьте $40 на ваш уникальный биткоин-адрес
34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb
Примечание с требованием выкупа направляет жертв на фишинговую страницу PayPal. Нажав на кнопку "Buy Now", он уже перенаправляет на фишинговую часть с кредитной картой (поэтому вход в систему пропускается). После заполнения и нажатия кнопки "Agree" появляются поля для заполнения личной информации держателя карты. После заполнения страницы с персональными данными пользователю сообщается об успехе. Но затем окно закрывается, т.к. злоумышленники получили всю необходимую им информацию для снятия денег со счета жертвы.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
README.html
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: CryTekk@protonmail.com
herschelgomez@xyzzyu.com
BTC: 34ieoNtVEUpcWeVbuxUWXoyANEBBv22TUb
URL: http://ppyc-ve0rf.890m.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as ) Write-up, Topic of Support *
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
