CypherPy Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем сообщает, чтобы вернуть файлы не удастся, потому что Cypher ещё находится в разработке. Оригинальное название: Cypher Ransomware. На файле написано: cyphermain.py. Написан на Python.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: CypherPy
К зашифрованным файлам добавляется расширение .crypt
Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Работает в Linux и Windows
Записка с требованием выкупа называется: README
Содержание записки о выкупе:
Cypher
Hello, unfortunately all your personal files have been encrypted with millitary grade encryption and will be impossible to retrieve without aquiring the encryption key and decrypting binary.
As of yet these are not available to you since the Cypher ransomware is still under construction.
We thank: you for your patience.
Have a nice day,
The Cypher Project.
Перевод записки на русский язык:
Cypher
Привет, к сожалению, все ваши личные файлы были зашифрованы с помощью шифрования военного класса, и их невозможно получить без приобретения ключа шифрования и двоичного кода дешифрования.
На данный момент они недоступны для вас, так как Cypher Ransomware ещё находится в разработке.
Благодарим за ваше терпение.
Хорошего дня,
Проект Cypher.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .asf, .asx, .avi, .bak, .bundle, .c, .cpp, .deb, .docx, .exe, .flv, .gif, .h, .html, .jar, .jpeg, .jpg, .log, .m2ts, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .pdf, .php, .png, .py, .pyc, .rar, .rm, .sh, .sq1, .sqlite3, .swf, .tar, .tar.gz, .tiff, .txt, .vob, .wmv, .zip (46 расширений).
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.
Файлы, связанные с этим Ransomware:
cyphermain.py
README
Пароль разблокировки:
prettyflypassword
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Предыстория от 24 августа 2017:
Расширение: .enc
Записка: readme_decrypt.txt
Сумма выкупа: 1 BTC
<< Скриншот записки
*
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware Write-up, Topic of Support *
Thanks: Karsten Hahn MalwareHunterTeam * *
© Amigo-A (Andrew Ivanov): All blog articles.