Если вы не видите здесь изображений, то используйте VPN.

понедельник, 9 мая 2016 г.

AutoLocky

AutoLocky Ransomware


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128 и требует 0.75 биткойнов за расшифровку. Кроме того, он пытается выдавать себя за известный вымогатель Locky и даже добавляет расширение .Locky к зашифрованным файлам, но при ближайшем рассмотрении оказывается не тем, за кого себя выдает. 

  Во-первых, записка с требованием выкупа совсем иная. Во-вторых, Tor для C&C-серверов не используется. В-третьих, вымогатель был создан в AutoIt, а не в Visual C ++. И, наконец, этот криптовымогатель не пытается удалять тома теневых копий на зараженном ПК.

 В отличие от реального криптовымогателя Locky, AutoLocky не изменяет базовое имя файла. Если файл с именем picture.jpg зашифрован, AutoLocky переименует его в picture.jpg.locky, а реальный Locky переименовал бы его случайным именем. Кроме того, записки с требованием выкупа - файлы info.txt или info.html - помещаются на Рабочем столе.



  Метод шифрования AutoLocky 
Пока неизвестно, как крипто-вымогатель AutoLocky распространяется. Значок подражает значку Adobe PDF, поэтому вероятно, он распространяется через email-вложения. 
После установки AutoLocky сканирует все диски ПК с поисках файлов определённых расширений, чтобы зашифровать их с помощью алгоритмов AES-128 и RSA-2048. Когда файл зашифрован, вымогатель добавляет расширение .locky к его имени.

Когда крипто-вымогатель закончит шифрование файлов, он создаст вымогательские записки Info.html и info.txt на рабочем столе. После чего загружает ключ шифрования на C&C-сервер, расположенного по адресу crazyloading.cc

Список файловых расширений, подвергающихся шифрованию AutoLocky:
.3ds, .3fr, .3pr, .7z, .accdb, .accde, .accdr, .accdt, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddoc, .ddrw, .der, .design, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hpp, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mos, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (217 расширений).

 Файлы, связанные с AutoLocky Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
%UserProfile%\Desktop\info.html
%UserProfile%\Desktop\info.txt

Сетевые подключения и связи:
C&C-сервер: crazyloading.cc

Степень распространённости: высокая
Подробные сведения собираются.

ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *