Сейчас 127 заметки.

Вирус-шифровальщик Ransom.CryFile

Материал из ЗАметки

Trojan decript он же "Консультант" шифрует фотографии, видеоматериалы, музыку, документы word, архивы и webmaster на зараженном компьютере.

В каждом каталоге создает текстовый документ с названием ВНИМАНИЕ_ОТКРОЙТЕ_МЕНЯ в котором написано:

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой  зашифрованный  
файл.
Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
Для этого установите программу с сайта https:// tox.im/ru и добавите указанный ниже 'Tox ID' в список контактов. 
Tox ID: 3C3C1B56D0F9019E6DDEA531F00DDD76075FBAF0385E23A5A9F6AED0CA46D00C3D6150C0C500

При нажатии на зашифрованный файл - появляется окно "Консультант"

Просит связаться с "консультантом" и заплатить деньги за расшифровку якобы испорченных файлов.



Как удалось расшифровать файлы формата *cry :)

Trojan decript1.png

День когда соседка принесла ноутбук. Ноутбук, интернет глючит, в браузер подставляется сторонняя реклама, порно. За расшифровку мошенник просит 21$.

Trojan decript2.png


Trojan decript3.png

Ночь, за расшифровку уже просят 22$. Решил отписать. "Консультант" в этот момент был оффлайн.

Trojan decript4.png


Trojan decript5.png


Trojan decript6.png

Высылает мне данные и способы оплаты.

Е347260012860

Z364475191628

U316454671802

R378489863011

В347173939350

Сохраните чек, после чего передайте консультанту точную дату и сумму перевода.


ЗАО "СМАРТБАНК' ИНН 5006008573


127220, Москва ул. Писцовая 9. 13А

Терминал: 39422

Адрес: калининградская обл., Калининград г , ул. Лукашова. а. 17

Извещение: 9394-2232-9069-6905-8592 Дата: 2013-10-17 Время: 19:г::57

Поставило Webtfoney

Номер кошелька:R32602U228127

Принято: 450

Стоимости услуги: 22.50

К оплате: 427.5


Внимание! Платежная система WebMoney взимает дополнительную комиссию от суммы 'к оплате'


СЛУЖБА ПОДДЕРЖКИ: 8-800-555-35-00


Trojan decript7.png

Его напоминалка блеаядь.

Trojan decript8.png


Требую расшифровать файлы, мне обратно высылаются данные для оплаты. Прикидываюсь шлангом D


Trojan decript9.png


Trojan decript10.png

Три гегабайта :)


Trojan decript12.png

После чего расшифровываю все файлы.


/user/AppData/Roaming/Microsoft Office Standart лежал decrypt.exe который расшифровывал файлы.