Satan's Doom Crypter Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $250 в BTC, чтобы вернуть файлы. Оригинальное название: Satan's Doom Crypter 2.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: HiddenTear >> Satan's Doom Crypter 2
К зашифрованным файлам добавляется расширение .locked
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_IT.txt
Содержание записки о выкупе:
SATAN'S DOOM CRYPTER 2.0
Your personal files have been securely encrypted with a advanced military algorithm. Send us BTC to get decryption code. YOUR UNIQUE UNLOCK ID: 63uh2372gASd@316
After that, you'll be able to see your beloved files again.
SATANS DOOM CRYPTER 2.0
Перевод записки на русский язык:
SATAN'S DOOM CRYPTER 2.0
Ваши личные файлы были надежно зашифрованы передовым военным алгоритмом. Пошлите нам BTC за код дешифрования. ВАШ УНИКАЛЬНЫЙ UNLOCK ID: 63uh2372gASd@316
После этого вы снова увидете свои любимые файлы.
SATAN'S DOOM CRYPTER 2.0
Запиской с требованием выкупа также выступает экран блокировки и изображение, заменяющее обои.
Содержание текста о выкупе:
Satan's Doom Crypter 2
<What happened to My Computer?>
All your files has been encrypted with advanced military encryption.
Your documents, photo's, videos and many more are no more accessible for you.
You can only gain access to it again using our own decryption tool
<How do I get my files back?>
We can easily decrypt your files remotely, but you have to do something first.
It's plain simple. You want yourfiles safely decrypted again?. Then you need to pay.
If you don't not pay within 4 days the amount will be doubled.
If we haven't recieved a payment within 3 more days we will destroy the unique decryption key.
Even we won't be able to decrypt any of your files.
<How do I Pay?>
The only way to pay is using Bitcom only. Send the correct amount of Bitcoin to the address specified below.
Once you have made the payment click check payment.
If the payment gets verified you will be given the unique key to Decrypt all your files.
<I Cannot Pay!>
If for some reason you cannot pay (and please be honest) email to CR7213uDS32s@protonmail.com for why you cannot pay or if you think your data has something personal (not games, but say photos of your kids e.t.c.), then that email is for you.
A PAYMENT OF $250 HAS TO BE SEND TO THIS BITCOIN ADDRESS
13w18TAAS3e4S8Z9W9Rkks734NbP6G7r8z
[CHECK PAYMENT]
[DECRYPT FILES]
Перевод текста на русский язык:
Satan's Doom Crypter 2
<Что случилось с моим компьютером?>
Все ваши файлы были зашифрованы с продвинутым военным шифрованием.
Ваши документы, фото, видеоролики и многое другое больше не доступны для вас.
Вы можете получить доступ к ним снова, используя наш инструмент дешифрования
<Как вернуть мои файлы?>
Мы можем легко расшифровать ваши файлы удаленно, но сначала вам нужно кое-что сделать.
Это просто. Вы хотите, чтобы ваши файлы безопасно расшифровали?. Тогда вам нужно заплатить.
Если вы не заплатите за 4 дня, сумма будет удвоена.
Если мы не получим платеж в течение ещё 3 дней, мы уничтожим уникальный ключ дешифрования.
Потом даже мы не сможем расшифровать ваши файлы.
<Как оплатить?>
Единственный способ оплаты с использованием биткоинов. Отправьте правильное количество биткоинов по указанному адресу ***
После совершения платежа, кликните на "check payment".
Если платеж подтвердится, вам будет предоставлен уникальный ключ для дешифрования всех ваших файлов.
<Я не могу заплатить!>
Если почему-то вы не можете заплатить (и это правда) напишите на CR7213uDS32s@protonmail.com почему вы не можете заплатить или считаете, что ваши данные имеют что-то личное (не игры, но говорят фотографии ваших детей и т.д.), то это письмо для вас.
ПЛАТЁЖ НА $250 НУЖНО ОТПРАВИТЬ НА ЭТОТ БИТКОИН-АДРЕС
13w18TAAS3e4S8Z9W9Rkks734NbP6G7r8z
[CHECK PAYMENT]
[DECRYPT FILES]
ID разблокировки вшит в код: 63uh2372gASd@316
Он же "уникальный ключ", упоминаемый в записке READ_IT.txt
Your personal files have been securely encrypted with a advanced military algorithm. Send us BTC to get decryption code. YOUR UNIQUE UNLOCK ID: 63uh2372gASd@316
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
READ_IT.txt
hidden-tear.exe
<random>.exe
tmp5DE7.tmp.exe
tmp<random>.tmp.exe
ransom.jpg (L6xzvLS.jpg) - загружается с сервиса imgur.com
UNLOCK.rar - удаляется
Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\ ->
\Desktop\\READ_IT.txt
\Desktop\READ_IT.txt.locked
C:\UNLOCK.rar
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: CR7213uDS32s@protonmail.com
BTC: 13w18TAAS3e4S8Z9W9Rkks734NbP6G7r8z
xxxx://www.doulciactivator-registration.nl/Tools (185.182.56.137:80 Нидерланды)
xxxx://i.imgur.com/L6xzvLS.jpg
См. ниже результаты анализов.
Результаты анализов:
Ⓥ VirusBuy анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as HiddenTear) Write-up, Topic of Support *
Thanks: Karsten Hahn Lawrence Abrams Michael Gillespie *
© Amigo-A (Andrew Ivanov): All blog articles.
