PayDay Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: указано в записке. На файле написано: cexplorer.exe или что-то другое.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .<random_A-Z{6}>
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW_TO_DECRYPT_MY_FILES.txt
Содержание записки о выкупе:
============== !!!PAYDAY RANSOMWARE!!! ==============
Attention! All your files are encrypted with extension ***.
to decrypt your files - you must buy decryptor. Decryptor price - 200 USD.
If the decryptor is not bought within 3 day's - files will be pernamently destroyed.
You can contact us by e-mail, our e-mail address : admin@dontfuckme.top.
Payment is accepted only in bitcoin ( https://en.bitcoin.it/wiki/Main_Page ). Our support will give you the address of our Bitcoin wallet for payment during a personal dialogue.
Contacting us - specify the extension of the encrypted files, and your unique identifier, which is listed below.
Only we can decrypt your files, do not use third-party software, it will break the files.
If you have any problems / questions - our support will help you.
Good luck. May god help you!
Your unique identifier : {**************}___suffinc
Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы с расширением ***.
чтобы расшифровать ваши файлы - вы должны купить расшифровщик. Цена декриптора - 200 долларов.
Если декриптор не будет куплен в течение 3 дней - файлы будут уничтожены.
Вы можете связаться с нами по email, наш email-адрес: admin@dontfuckme.top.
Оплата принимается только в биткоинах (https://en.bitcoin.it/wiki/Main_Page). Наша служба поддержки предоставит вам адрес нашего биткоин-кошелька для оплаты во время личного общения.
Обращаясь к нам - укажите расширение зашифрованных файлов и ваш уникальный идентификатор, который указан ниже.
Только мы можем расшифровать ваши файлы, не используйте сторонние программы, они сломают файлы.
Если у вас есть какие-то проблемы / вопросы - наша поддержка поможет вам.
Удачи. Да поможет тебе Бог!
Ваш уникальный идентификатор:
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_MY_FILES.txt
cexplorer.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: admin@dontfuckme.top
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
URL зараженных сайтов:
xxxx://gabrielreed.pw
xxxx://5.255.94.90/index.php
xxxxs://rgdsghhdfa.pw/x/s.php
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: MalwareHunterTeam, James Andrew Ivanov (author) * to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.