Если вы не видите здесь изображений, то используйте VPN.

вторник, 1 ноября 2016 г.

ZeroCrypt

ZeroCrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в 10 биткоинов (~$7300) за секретный ключ и 100 биткоинов за программу дешифрования файлов на несколько машин. Название получил от email-адреса вымогателей. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .zn2016.

Активность этого криптовымогателя пришлась на конец октября 2016 г. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа бросается на рабочий стол и называется: 
ZEROCRYPT_RECOVER_INFO.txt

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-1024 and some secret ciphers.
Decrypting of your files is only possible with the secret key or decryption program, which is on our secret server.
To receive your secret key send 10 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The secret key can decrypt the data on a single computer.
To receive your decryption program send 100 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The decryption program can decrypt the data on all of your computers.
When you send money, please contact us at this email address:
zerocrypt2016@gmail.com
And attach one of the encrypted file to the letter.

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с помощью RSA-1024 и некоторых секретных шифров.
Дешифрование файлов возможно только с помощью секретного ключа или программы дешифрования, которая есть на нашем секретном сервере.
Чтобы получить секретный ключ отправьте 10 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Секретный ключ может расшифровать данные на одном компьютере.
Для получения вашей программы дешифрования отправьте 100 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Программа дешифрования может расшифровать данные на всех ваших компьютерах.
Когда вы отправите деньги, пожалуйста, свяжитесь с нами по этому email:
zerocrypt2016@gmail.com
И прикрепите один из зашифрованных файлов к письму.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с ZeroCrypt Ransomware:
ManBeCareful.exe
%LOCALAPPDATA%\ZeroCrypt\ManBeCareful.exe
%USERPROFILE%\Desktop\ZEROCRYPT_RECOVER_INFO.txt

Записи реестра, связанные с ZeroCrypt Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 Daniel Gallagher
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *