Cripton7zp Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует файлы и сообщает, что файлы зашифрованы с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .aes
Пример зашифрованного файла: 1Cv8.1CD.aes
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало мая 2019 г. и продолжалась позже, включая сентябрь 2019. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. На компьютере жертвы ищет базы данных, например, от российской бухгалтерской программы 1С. Помещает их в архив и требует выкуп.
Записка с требованием выкупа называется: readme.txt
Содержание записки о выкупе:
Здравствуйте ! Все ваши файлы зашифрованы самым стойким алгоритмом шифрования AES , данный алгоритм не возможно расшифровать без ключа ! ************************************************************************* Чтобы получить ключ пришлите на почту cripton7zp@protonmail.com или если долго нету ответа то на резервную почту пишите cripton7zp@tutanota.com ваш ID и пару зашифрованных файлов для дешифровки ! Это вам гарантирует что я могу вам все файлы расшифровать! Если не пишите в течении 96 часов тогда ваш ключ удаляется и файлы уже невозможно будет расшифровать!!
********************************************************************** ВАЩ ID: GB4537673522222266
Перевод записки на русский язык:
уже сделан вымогателем.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Файлы баз данных и популярные форматы.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Бэкапы и архивные файлы не шифруются, а удаляются.
Файлы, связанные с этим Ransomware:
readme.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cripton7zp@protonmail.com, cripton7zp@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
© Amigo-A (Andrew Ivanov): All blog articles.
Перевод записки на русский язык:
уже сделан вымогателем.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Файлы баз данных и популярные форматы.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Бэкапы и архивные файлы не шифруются, а удаляются.
Файлы, связанные с этим Ransomware:
readme.txt
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: cripton7zp@protonmail.com, cripton7zp@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 22 марта 2021:
Расширение: .aes
Записка: readme.txt
Email: cripton7zp@mailfence.com, cripton7zp@tutanota.com
➤ Содержание записки:
Здравствуйте !
Все ваши файлы зашифрованы самым стойким алгоритмом шифрования AES , данный алгоритм не возможно расшифровать без ключа!
*****************************************************************
Чтобы получить ключ пришлите на почту cripton7zp@mailfence.com , или если долго нету ответа то на резервную почту пишите cripton7zp@tutanota.com ваш ID и пару зашифрованных файлов для дешифровки !
Это вам гарантирует что я могу вам все файлы расшифровать! Если не пишите в течении 96 часов тогда ваш ключ удаляется и файлы уже невозможно будет расшифровать!!!
*****************************************************************
ВАЩ ID: ANKS57752256789895452553682
Также если долго не отвечаю или ошибки при отправке то ....
Из - за недавних событий в правительстве, рекомендую писать с Gmail или с yahoo mail
Или сразу с этих доменов пишите и лучше пишите сразу на две почты одновременно а то мало ли что !
А еще лучше для надежности можете зарегистрироваться через ВПН или через ТОР браузер на protonmail.com и написать мне !
Тогда 100 процентов письмо придет !
P.S НЕ ПИШИТЕ С МАЙЛ РУ !!!!!!!!!!!!!!! С МАЙЛ РУ ПОЧТА МНЕ НЕ ПРИХОДИТ А ЕСЛИ И ПРИХОДИТ ТО Я НЕ МОГУ НА НЕЕ ОТВЕТИТЬ !!!
!!! НЕ БЕСИТЕ МЕНЯ ПОЖАЛУЙСТА С ВАШИМ ЛЮБИИМЫМ МААЙЛ РУ !
ЕСЛИ ВАМ РЕАЛЬНО НУЖНЫ ФАЙЛЫ ТО ПОЖАЛУЙСТА ПИШИТЕ С ЧЕЛОВЕЧЕСКИХ ЯЩИКОВ !!!
P.S 2 ПОЖАЛУЙСТА ДУМАЙТЕ О ЛЮДЯХ КОГДА ХОТИТЕ КАКИМ ТО ОБРАЗОМ ЗАБЛОКИРОВАТЬ МОЮ ПОЧТУ
ВЫ БОЛЬШЕ ВРЕДИТЕ ЛЮДЯМ КОТОРЫМ ОЧЕНЬ ОЧЕНЬ ВАЖНО БЫВАЕТ РАСШИФРОВАТЬ ФАЙЛЫ И ВЫ ИМ ВРЕДИТЕ БОЛЬШЕ ЧЕМ МНЕ !!!!
P.S 3 ЕСЛИ ПЫТАЕТЕСЬ САМИ РАСШИФРОВАТЬ ИЛИ ЧТО ТО СДЕЛАТЬ С ФАЙЛАМИ ТО РЕКОМЕНДУЮ СДЕЛАТЬ КОПИИ
А ПОТОМ ЕСЛИ ХОТИТЕ ПРОБОВАТЬ ВСЯКИМИ БЕЗПОЛЕЗНЫМИ ПРОГРАММАМИ ЧТОБЫ ВЫ ИХ НЕ ИСПОРТИЛИ СОВСЕМ !
ТАК ЖЕ ЕСЛИ У ВАС RAID 1 ИЛИ RAID 10 ТО РЕКОМЕНДУЮЮ ПЕРЕПРОВЕРИТЬ А ПОТОМУ УЖЕ ДОСТАВАТЬ ОДИН ДИСК
ПОТОМУ ЧТО СКОРЕЕ ВСЕКГО ВАШИ РАЙДЫ ПРЕВРАТИЛИЛИСЬ В ОБЫЧНЫЕ ДИСКИ ИЛИ В RAID 0 И ЕСЛИ RAID 0 ТО МОЖНО ИСПОРТИТЬ ФАЙЛЫ СОВСЕМ !!!!!!!!!!!
Вариант от 6 апреля 2022:
Внешне тоже самое, что и год назад.
Расширение: .aes
Записка: readme.txt
Email: cripton7zp@mailfence.com, cripton7zp@tutanota.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: Andrew Ivanov (author), Alex Svirid *** *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
