CryptoExpertoo Ransomware
(rar-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: другие RAR и ZIP вымогатели >>
Активность этого крипто-вымогателя была в сентябре 2023 г. Ориентирован на англоязычных пользователей, но взапсике текст продублирован на испанском, русском, турецкомможет распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .CRYPTED
Фактически используется составное расширение по шаблону: .ID-<XXXXXXXXX>.{cryptoexpertoo@hotmail.com}.CRYPTED
Пример зашифрованного файла:
Пример зашифрованного файла:
пт.pdf.ID-17716AR69.{cryptoexpertoo@hotmail.com}.CRYPTED
Записка с требованием выкупа называется: readme_files encrypted.txt
Содержание записки о выкупе:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Записка с требованием выкупа называется: readme_files encrypted.txt
Hello!
All files are encrypted.
Attempting to decrypt files will damage them.
I can help you for a fee.
Your ID 17716AR69.
Contact me by email - cryptoexpertoo@hotmail.com
Hallo!
Alle Dateien sind verschlüsselt.
Beim Versuch, Dateien zu entschlüsseln, werden diese beschädigt.
Ich kann Ihnen gegen eine Gebühr helfen.
Ihre ID 17716AR69.
Kontaktieren Sie mich per E-Mail - cryptoexpertoo@hotmail.com
Привет!
Все файлы зашифрованы.
Попытка расшифровать файлы приведет к их повреждению.
Я могу помочь вам за определенную плату.
Ваш ID 17716AR69.
Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.
Merhaba!
Tüm dosyalar şifrelenmiştir.
Dosyaların şifresini çözmeye çalışmak onlara zarar verir.
Ücret karşılığında yardımcı olabilirim.
Kimliğiniz 17716AR69.
Bana e-posta yoluyla ulaşın - cryptoexpertoo@hotmail.com
¡Hola!
Todos los archivos están cifrados.
Intentar descifrar archivos los dañará.
Puedo ayudarte pagando una tarifa.
Su DNI 17716AR69.
Contáctame por correo electrónico: cryptoexpertoo@hotmail.com
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: Sandor Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.