GrodexCrypt Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: GrodexCrypt. На файле написано: windir.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: MicroCop (Crypt888) > GrodexCrypt
К зашифрованным файлам, как в прошлогоднем MicroCop, добавляется не расширение, а приставка Lock. — таким образом зашифрованный файл тоже выглядит так: Lock.original_name.png
Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе и FAQ:
1.
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! You can still save your files.
You have 48 hours to pay 50 USD in Bitcoins to get the decryption key.
After 48 all the files will be deleted and the decryption key will be destroyed.
If you do not have bitcoins Google the website buybitcoinworldwide or localbitcoins
Purchase 50 American Dollars worth of Bitcoins.
Send to the Bitcoins address specified.
Within minutes of receiving your payment your computer will receive the decryption application and return to normal.
Try anything funny and the decryption key will be destroyed along with your whole computer.
As soon as you have paid, please send email to STYSLA@PROTONMAIL.COM with your unique code: "7C8" as we receive the email we will send you the decryption application.
https://www.buybitcoinworldwide.com/
2.
Q: Is it possible to decrypt my files without paying?
A: No
Q: What if I try to remove this software?
A: Your decryption application will be destroyed and all of your files will be deleted
Q: What if I dont have bitcoins?
A: We have clear instructions how to buy bitcoins and send them to us.
Перевод записки и FAQ на русский язык:
1.
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Ты можешь сохранить свои файлы.
У тебя есть 48 часов, чтобы заплатить $50 в биткоинах и получить ключ дешифрования.
После 48 все файлы будут удалены, а ключ дешифрования будет уничтожен.
Если у тебя нет биткоинов гугли на сайте buybitcoinworldwide или localbitcoins
Купи 50 долларов за биткоины.
Отправь на биткоин-адрес.
Через несколько минут после получения платежа ваш компьютер получит приложение для расшифровки и вернется в нормальное состояние.
Попробуешь пошутить и ключ дешифрования будет уничтожен вместе с твоим компьютером.
Как только ты заплатишь, отправь email на STYSLA@PROTONMAIL.COM со своим уникальным кодом: "7C8", когда мы получим email, мы пошлем тебе приложение дешифрования.
2.
Вопрос: Можно ли расшифровать мои файлы без оплаты?
Ответ: Нет
В.: Что будет, если я пытаюсь удалить эту программу?
О.: Твое приложение для дешифрования будет уничтожено и все твои файлы будут удалены.
В.: Что, если у меня нет биткоинов?
О.: У нас есть четкие инструкции, как купить биткойны и отправить их нам.
Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
windir.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
STYSLA@PROTONMAIL.COM
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.
Но, не волнуйся! Ты можешь сохранить свои файлы.
У тебя есть 48 часов, чтобы заплатить $50 в биткоинах и получить ключ дешифрования.
После 48 все файлы будут удалены, а ключ дешифрования будет уничтожен.
Если у тебя нет биткоинов гугли на сайте buybitcoinworldwide или localbitcoins
Купи 50 долларов за биткоины.
Отправь на биткоин-адрес.
Через несколько минут после получения платежа ваш компьютер получит приложение для расшифровки и вернется в нормальное состояние.
Попробуешь пошутить и ключ дешифрования будет уничтожен вместе с твоим компьютером.
Как только ты заплатишь, отправь email на STYSLA@PROTONMAIL.COM со своим уникальным кодом: "7C8", когда мы получим email, мы пошлем тебе приложение дешифрования.
2.
Вопрос: Можно ли расшифровать мои файлы без оплаты?
Ответ: Нет
В.: Что будет, если я пытаюсь удалить эту программу?
О.: Твое приложение для дешифрования будет уничтожено и все твои файлы будут удалены.
В.: Что, если у меня нет биткоинов?
О.: У нас есть четкие инструкции, как купить биткойны и отправить их нам.
Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
windir.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
STYSLA@PROTONMAIL.COM
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Внимание! Для зашифрованных файлов есть декриптер Скачать Crypt888Decrypter для дешифровки >> Описание для Crypt888 >> Декриптер общий для Crypt888 и GrodexCrypt. Это просто разные версии одного и того крипто-вымогателя.
Read to links: Tweet on Twitter ID Ransomware Write-up, Write-up by Avast *
Thanks: Jakub Kroustek Lawrence Abrams * *
© Amigo-A (Andrew Ivanov): All blog articles.
ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.