пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, а затем требует выкуп, чтобы вернуть файлы обратно. Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось в Литве. 

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

 Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe
Самоназвание:  J o b C r y p t e r
Email: 
   frthnfdsgalknbvfkj@outlook.fr
   frthnfdsgalknbvfkj@yahoo.com
   frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HA, VT

Степень распространенности: средняя.
Подробные сведения собираются. 

Ссылки:
Тема поддержки на BC

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton