ZeroCrypt Ransomware
(шифровальщик-вымогатель)
© Генеалогия: выясняется
К зашифрованным файлам добавляется расширение .zn2016.
Активность этого криптовымогателя пришлась на конец октября 2016 г. Ориентирован на англоязычных пользователей.
Записка с требованием выкупа бросается на рабочий стол и называется:
ZEROCRYPT_RECOVER_INFO.txt
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-1024 and some secret ciphers.
Decrypting of your files is only possible with the secret key or decryption program, which is on our secret server.
To receive your secret key send 10 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The secret key can decrypt the data on a single computer.
To receive your decryption program send 100 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The decryption program can decrypt the data on all of your computers.
When you send money, please contact us at this email address:
zerocrypt2016@gmail.com
And attach one of the encrypted file to the letter.
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с помощью RSA-1024 и некоторых секретных шифров.
Дешифрование файлов возможно только с помощью секретного ключа или программы дешифрования, которая есть на нашем секретном сервере.
Чтобы получить секретный ключ отправьте 10 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Секретный ключ может расшифровать данные на одном компьютере.
Для получения вашей программы дешифрования отправьте 100 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Программа дешифрования может расшифровать данные на всех ваших компьютерах.
Когда вы отправите деньги, пожалуйста, свяжитесь с нами по этому email:
zerocrypt2016@gmail.com
И прикрепите один из зашифрованных файлов к письму.
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с ZeroCrypt Ransomware:
ManBeCareful.exe
%LOCALAPPDATA%\ZeroCrypt\ManBeCareful.exe
%USERPROFILE%\Desktop\ZEROCRYPT_RECOVER_INFO.txt
Записи реестра, связанные с ZeroCrypt Ransomware:
См. ниже гибридный анализ.
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter ID Ransomware *
Thanks: Michael Gillespie Daniel Gallagher * *
© Amigo-A (Andrew Ivanov): All blog articles.