Если вы не видите здесь изображений, то используйте VPN.

четверг, 9 февраля 2017 г.

DynA-Crypt

DynA-Crypt Ransomware

DynA CryptoLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью отдельной программы AES, а затем требует выкуп в $50 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: DynAmite. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

Зафиксированная активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
➤ Для ПК с Windows x64
➤ На начало 2018 года DynA-Crypt ещё используется. 

Записки с требованием выкупа выступает экран блокировки. 
Сообщение о выкупе имеет графический интерфейс, требует $50 в биткоинах на BTC-адрес. 


Содержание записки о выкупе:
DynA-Crypt
All your important files are encrypted
Your computer has been locked
If you want unlock send 50 $ BTC
To this wallet if not files will be
Randomly deleting every 5 minutes
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Перевод записки на русский язык:
DynA-Crypt
Все ваши важные файлы зашифрованы
Ваш компьютер был блокирован
Если хотите разблок, пришлите 50 $ BTC
На этот кошелёк, если нет, то файлы будут
Выборочно удаляться каждые 5 минут
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Распространяется по форумам, может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


 

- Настраивается под себя, может блокировать браузеры, отключать защиту. 
- Разработчик нашпиговал своё детище различным дополнительным функционалом, множеством автономных исполняемых файлов и скриптов PowerShell. Нужно или не нужно, оно там есть. 
- Имеет также функционал трояна-шпиона и бэкдора: записывает нажатия клавиш, создает скриншоты, ворует информацию из приложений пользователей (Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak, Thunderbird и др.), пытается установить удалённое соединение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .avi, .csv, .doc, .docx, .jpeg,.jpg, .m4a, .mdb, .mkv, .mov, .mp3, .mp4, .msg, .odt, .pdf, .png, .ppt, .pptx, .pst, .rar, .xls, .xlsx, .zip (24 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы и папки, связанные с этим Ransomware:
<random>.exe
picturespack.exe
%AppData%\Local\dyna\loot\ - место для сбора данных с ПК и помещения потом в архив loot.zip

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 января 2018:
Файл: Evil_File.exe
Результаты анализов: VT + VB



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Attention! It can be decrypted!
For decoding, please contact Michael Gillespie

Внимание! Это дешифруется!
Для дешифровки пишите Майклу Джиллеспи
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DynA-Crypt)
 Write-up
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *