CryptoGod 2018 Ransomware
(шифровальщик-вымогатель, деструктор)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoGod. На файле написано: Ransomware creato da Patrizio Napoli. Разработчик: Patrizio Napoli.
© Генеалогия: HiddenTear >> CryptoGod 2017 > CryptoGod 2018
К зашифрованным файлам добавляется расширение: .locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образцы этого крипто-вымогателя были найдены в конце июня 2018 г. Ориентирован на итальянских пользователей, возможно, опытный образец и ещё массово не распространяется.
Записка с требованием выкупа называется: LEGGIMI.txt
Запиской с требованием выкупа выступает экран блокировки с заголовком CryptoGod:
Содержание записки о выкупе:
ESEMPIO RANSOMWARE ESAMI DI STATO 2018 DI PATRIZIO NAPOLI 5a B SIA
INSERISCI IL CODICE TRANSAZIONE BITCOIN
INSERISCI LA TUA E-MAIL
INVIA DATI
----------
I TUOI FILE PERSONALI STANNO PER ESSERE CANCELLATI. LE TUE FOTO, VIDEO, DOCUMENTI ETC...
MA NON PREOCCUPARTI! SUCCEDERÀ SOLO SE NON SEGUI LE REGOLE.
HO GIÀ CRIPTATOI TUOI FILE, IN MODO CHE TU NON POSSA ACCEDERVI. OGNI ORA SELEZIONERÒ UNO DI LORO E LO CANCELLERÒ IN MODO PERMANENTE, DOPO 24 ORE LI CANCELLERÒ TUTTI, QUINDI NEMMENO IO SARÒ PIÙ IN GRADO DI RECUPERARLI.
SONO L'UNICO IN GRADO DI DECRIPTARE I TUOI DATI..
ORA, GUARDA I TUOI FILE, NON POTRAI DECRIPTARLI SENZA PAGARE.
LA CIFRA DA PAGARE PER RIAVERE I FILE È DI 300€ IN CODICI PAYSAFECARD.
PUOI INSERIRE DIRETTAMENTE QUI SOTTO I TUOI CODICI PAYSAFECARD, IL NOME DEL TUO PC ED UNA TUA E-MAIL PER INVIARLE IL CODICE DI DECRIPTAZIONE DEI FILE.
Перевод записки на русский язык:
ПРИМЕР RANSOMWARE НА ГОС. ЭКЗАМЕНЫ ОТ ПАТРИЦИО НАПОЛИ 5a B SIA
ВСТАВИТЬ КОД ПОДТВЕРЖДЕНИЯ БИТТЕЙН
ВСТАВИТЬ ВАШ E-MAIL
ОТПРАВИТЬ ДАННЫЕ
----------
ВАШИ ЛИЧНЫЕ ФАЙЛЫ БУДУТ УДАЛЕНЫ. ВАШИ ФОТОГРАФИИ, ВИДЕО, ДОКУМЕНТЫ И Т. Д. ...
НО НЕ ВОЛНУЙТЕСЬ! ЭТО ПРОИЗОЙДЕТ, ТОЛЬКО ЕСЛИ ВЫ НЕ БУДЕТЕ СЛЕДОВАТЬ ПРАВИЛАМ.
Я УЖЕ ЗАШИФРОВАЛ ВАШИ ФАЙЛЫ, ПОЭТОМУ ВЫ НЕ МОЖЕТЕ ПОЛУЧИТЬ К НИМ ДОСТУП. КАЖДЫЙ ЧАС Я ВЫБЕРУ ОДИН ИЗ НИХ И УДАЛЮ ЕГО НАВСЕГДА, ПОСЛЕ 24 ЧАСОВ Я УДАЛЮ ИХ ВСЕ, ПОЭТОМУ Я НЕ СМОГУ ИХ ВОССТАНОВИТЬ.
Я ЕДИНСТВЕННЫЙ, КТО МОЖЕТ РАСШИФРОВАТЬ ВАШИ ДАННЫЕ.
ТЕПЕРЬ, ПОСМОТРИТЕ НА СВОИ ФАЙЛЫ, ВЫ НЕ МОЖЕТЕ РАСШИФРОВАТЬ ИХ, НЕ ЗАПЛАТИВ.
СУММА, КОТОРУЮ НУЖНО ЗАПЛАТИТЬ, ЧТОБЫ ВЕРНУТЬ ФАЙЛЫ, СОСТАВЛЯЕТ 300 ЕВРО В КОДАХ PAYSAFECARD.
ВЫ МОЖЕТЕ НАПРЯМУЮ ВВЕСТИ СВОИ КОДЫ PAYSAFECARD, ИМЯ СВОЕГО КОМПЬЮТЕРА И СВОЙ EMAIL-АДРЕС НИЖЕ, ЧТОБЫ ОТПРАВИТЬ КОД ДЕШИФРОВАНИЯ ФАЙЛОВ.
Технические детали
Если верить надписи на первом скриншоте, то это якобы пример Ransomware для госэкзаменов в Италии. С технической стороны это ничего не значит, потому что кто-то другой может доработать CryptoGod и начать распространять его с вымогательской целью путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
CryptoGod.exe
LEGGIMI.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.