пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, а затем требует выкуп, чтобы вернуть файлы обратно. Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось в Литве. 

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

 Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe
Самоназвание:  J o b C r y p t e r
Email: 
   frthnfdsgalknbvfkj@outlook.fr
   frthnfdsgalknbvfkj@yahoo.com
   frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HA, VT

Степень распространенности: средняя.
Подробные сведения собираются. 

Ссылки:
Тема поддержки на BC

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *