CryptoDefense
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 10 % (Normal) |
| Computadores infectados: | 34 |
| Visto pela Primeira Vez: | March 24, 2014 |
| Visto pela Última Vez: | April 19, 2023 |
| SO (s) Afetados: | Windows |
O CryptoDefense, também conhecido como HOW_DECRYPT.txt Ransomware, é uma infecção de PC que ataca todas as versões do Windows, incorporando o Windows XP, Windows Vista, Windows 7 e Windows 8. Quando um PC é contaminado pelo CryptoDefense Ransomware, a infecção por malware executa uma variedade de ações prejudiciais no sistema do computador. O CryptoDefense Ransomware descriptografa os arquivos do computador infectado e exige que a vítima pague uma suposta multa para criptografá-los. O CryptoDefense Ransomware também exclui todas as cópias do Shadow Volume quando é lançado, o que significa que a única maneira de restaurar os arquivos é através de um backup. O CryptoDefense Ransomware conecta-se a um servidor de Comando e Controle (C&C) e baixa uma chave privada. O CryptoDefense Ransomware exclui todas as cópias do Shadow Volume para que o usuário do computador não possa restaurar os arquivos na forma do Shadow Volume. Isto significa que o usuário do computador só será capaz de restaurar os arquivos usando um backup ou pagando a suposta multa. O CryptoDefense Ransomware digitaliza o PC e criptografa arquivos de dados como arquivos de imagem, arquivos de texto, documentos do office e arquivos de vídeo. O CryptoDefense Ransomware cria um screenshot da tela do Windows que esta sendo acessada pelo usuário do computador e envia-a para o servidor de Controle e Comando. Essa imagem será incorporada na página de pagamento do usuário do PC no seu site de serviço de descriptografia.
Esse site de pagamento está localizado na rede Tor e o usuário do PC só pode fazer o pagamento em Bitcoins. Para comprar o descriptador para os arquivos, o usuário do computador precisa pagar uma suposta multa de 500 USD em Bitcoins. Se o usuário do PC não pagar a multa no prazo de 4 dias, isso vai duplicar a multa, ou seja, ele terá de pagar $1.000 USD. O CryptoDefense Ransomware também declara que se o usuário do PC não comprar o descriptografador dentro de um mês, ele excluirá sua chave privada e o usuário do computador não será mais capaz de descriptografar os arquivos. Os arquivos são criptografados usando a criptografia RSA-2048, o que os torna impossível descriptografa-los via métodos de força bruta. No início de cada arquivo criptografado, estarão duas seqüências de caracteres de texto. A primeira seqüência de caracteres é !crypted! e a segunda seqüência de caracteres é um identificador exclusivo para o PC comprometido. Um exemplo desse identificador é 18177F25DA00CD4CBC3D1b8B9F55F018. Todos os arquivos criptografados no mesmo PC incluem o mesmo identificador exclusivo. Possivelmente, esse identificador é usado pelo site do serviço de descriptografia para ele reconhecer a chave privada que pode ser usada para descriptografar os arquivos, ao ser executada uma descriptografia de teste.
Índice
Detalhes Sobre os Arquivos do Sistema
| # | Nome do arquivo |
Detecções
Detecções: O número de casos confirmados e suspeitos de uma determinada ameaça detectada nos computadores infectados conforme relatado pelo SpyHunter.
|
|---|---|---|
| 1. | %UserProfile%\Desktop\HOW_DECRYPT.URL | |
| 2. | %UserProfile%\Desktop\HOW_DECRYPT.TXT | |
| 3. | %UserProfile%\Desktop\HOW_DECRYPT.HTML |
Detalhes sobre o Registro
URLs
CryptoDefense pode chamar os seguintes URLs:
| https://tabsearch.net/search/?q= |
Mensagens
Foram encontradas as seguintes mensagens associadas ao CryptoDefense:
|
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files. In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/XXX and follow the instructions. If https://rj2bocejarqnpuhm.onion.to/XXX is not opening, please follow the steps below: IMPORTANT INFORMATION: Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/XXX Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/XXX Your Personal CODE(if you open site directly): XXX |
