Cryp70n1c Ransomware
Cryp70n1c Army Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Cryp70n1c и CRYP70N1C ARMY. Название проекта: CRYPTONIC HACKING TOOLS и "hidden tear online with server". Разработчик: Clinton.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: HiddenTear >> Cryp70n1c
Изображение принадлежит шифровальщику
К зашифрованным файлам добавляется расширение .cryp70n1c
Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
1) Записка с требованием выкупа называется: READ_IT.txt
Содержание записки о выкупе:
This computer has been hacked
Your personal files have been encrypted. Send us 0,05 Bitcoin to get the decryption passcode.
After that, you'll be able to get your files back again.
Failure to do so within 3 days will result in all your files being deleted & lost forever - visit www.luno.com to buy Bitcoin and once you have purchased 0.05 please send them to the following Bitcoin Address 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM thank you and have a great day. If you need to contact us for any reason please e-mail us ransom@deliveryman.com
Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы были зашифрованы. Отправьте нам 0,05 биткоина, чтобы получить пароль к дешифровке.
После этого вы сможете вернуть свои файлы.
Если вы не сделаете это в течение 3 дней, все ваши файлы будут удалены и потеряны навсегда - посетите сайт www.luno.com, чтобы купить биткоины, и как только вы приобрели 0.05, отправьте их на следующий биткоин-адрес 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM и у вас будет отличный день. Если вам нужно связаться с нами по любой причине, пишите на наш email ransom@deliveryman.com
2) Информатором жертвы так выступает экран блокировки а-ля Petya Ransomware, но с укрупненным текстом и расплытыми буквами.
Экран блокировки
Содержание текста с экрана:
We are the Cryptonic Army
All data files have been locked and in 3 days they will be deleted unless you pay us
Please find the text file on your desktop for instructions
Перевод на русский язык:
Мы Cryptonic Army.
Все файлы данных заблокированы и через 3 дня они будут удалены, если вы не заплатите нам.
Найдите текстовый файл на вашем рабочем столе для инструкций.
3) Кроме того, с неким призывом выступает веб-сайт Cryp70n1c Army.
CRYP70N1C ARMY
JOIN US AND TAKE CONTROL BACK
Join us today and help deface the government and all corrupt businesses. Firstly visit Proton-mail and open a Anonymous e-mail address then proceed to step two
ACCOUNT SIGNUP
Once your anonymous e-mail is registered proceed to sign up, make sure to choose a strong password and username that doesn’t tie you to anything. Our server doesn’t log your IP address so no need to access this site via VPN.
DOWNLOAD THE HACKING “STARTER PACK“
Once you have successfully logged in find the footer section called “MORE” this is DDOS and MYSQL Injection software we built for you, we will be training you to use it via our learning center.
LAUNCH DATES & COMMUNICATION
You shall find the following sections once logged in, Launch Dates will be set 2 weeks prior to attack and attack targets will we given 15 minutes prior to live attack. All communication will be done via our live chatroom.
Cryp70n1c: Leader
AMAZING
It is a long established fact that majority always wins, power is essential and clearly our government has the upper hand. We are a core group of three experienced hackers which were responsible for the Julius Malema hack, several database dumps as well as defacing 3 government websites. But we need recruitment’s who are willing to join in on the hacks as we need more computational power.
SEE YOU ON THE DARKSIDE
***
Перевод призыва на русский язык:
CRYP70N1C ARMY
Присоединяйтесь к нам и верните контроль
Присоединяйтесь к нам сегодня и помогите дискредитировать правительство и все коррумпированные предприятия. Сначала посетите Proton-mail и откройте анонимный email-адрес, а затем перейдите к шагу 2
РЕГИСТРАЦИЯ АККАУНТА
Как только ваш анонимный email зарегистрирована, перейдите к нашей регистрации, убедитесь, что вы выбрали надежный пароль и имя пользователя, которое не привязывает вас ни к чему. Наш сервер не регистрирует ваш IP-адрес, поэтому вам не нужно обращаться к этому сайту через VPN.
ЗАГРУЗИТЬ ХАКЕРСКИЙ "STARTER PACK"
После того, как вы успешно вошли в систему, найдите нижний колонтитул под названием "MORE", это программа для DDOS и MYSQL инъекций, которое мы сделали для вас, мы будем обучать вас, как использовать его, через наш учебный центр.
ЗАПУСК ДАТЫ И СВЯЗЬ
После входа в систему вы найдете следующие разделы: Launch Dates будет установлен за 2 недели до атаки и целей атаки, которые мы давали за 15 минут до живой атаки. Все общение будет осуществляться через наш интерактивный чат.
Cryp70n1c: Лидер
УДИВИТЕЛЬНО
Это давно установленный факт, что большинство всегда побеждает, власть необходима, и ясно, что наше правительство имеет верх. Мы являемся основной группой из трех опытных хакеров, которые были ответственны за взлом Julius Malema, несколько дампов базы данных, а также за нарушение 3 правительственных веб-сайтов. Но нам нужны призывники, которые хотят присоединиться к хакам, поскольку нам нужно больше вычислительной мощности.
СМОТРИТЕ НА ТЕМНОЙ СТОРОНЕ
***
Скриншоты с сайта Cryptonic Army
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Распространяется и позиционируется как хакерский инструмент PDF-Cracker-v2.0.1. Есть даже инструкция по применению how-to-use-pdf-cracker.txt.
Содержание:
Thank you for downloading PDF Cracker by Code-C
step 1: Open PDF cracker
step 2: Upload the .PDF you would like to crack
step 3: Click "Start Cracking"
step 4: Copy the hash-key after PDF cracker has found it
step 5: Paste the hash-key in the bruteforcer text block and click "find key"
After a few minutes you will see the PDF's Password :)
If you enjoyed this software please consider donating to me via paypal PDF-Cracker-V2
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Файлы, связанные с этим Ransomware:
PDF-Cracker-v2.0.1.exe (hidden-tear.exe)
how-to-use-pdf-cracker.txt
READ_IT.txt
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxxs://cryp70n1c.army/
Email: ransom@deliveryman.com
BTC: 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID under HiddenTear) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Это статья является 500-ой, из написанных в 2017 году!