понедельник, 21 марта 2016 г.

Xorist

Xorist Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Это целое семейство крипто-вымогателей, базирующееся на крипто-конструкторе Encoder Builder, котором можно задавать различные параметры для будущего крипто-вымогателя: список целевых расширений для шифрования, формат расширения, добавляемого к зашифрованным файлам, алгоритм шифрования (XOR или TEA), пароль шифрования, число попыток для ввода пароля, пароль дешифрования, язык интерфейса, изображения для экрана блокировки и смены обоев, добавление в автозагрузку системы и другие фичи. 

  После выбора необходимых опций создать новый крипто-вымогатель этого семейства можно нажатием всего одной кнопки Create! (Создать!).


Так выглядит Builder для Xorist-вымогателей (английская и русская версия)

По умолчанию, Encoder Builder настроен на создание стандартного для Xorist-семейства сообщения с требованием выкупа, но все, разумеется, настраивается под желание создающего. 

Пострадавших от семейства Xorist-вымогателей становится всё больше в запросах помощи на форумах безопасности и лечения от вирусов.

Проблема идентификации криптовымогателя заключается в том, что зашифрованные файлы имеют различные расширения, различаются и записки с требованием выкупа, что затрудняет жертве поиск информации на получение помощи. Например, мы видели варианты этих вымогателей, которые добавляли к зашифрованным файлам следующие расширения:  EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259

И это только часть вариантов.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx,.zip (57 расширений). 

Степень распространённости: высокая.
Подробные сведения собираются. 


Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи крипто-вымогателей.


Внимание!!! 
Для зашифрованных файлов есть декриптер. 

1 комментарий:

  1. Обновление от 18 апреля 2017:
    Email: workencryptincfolder@india.com
    Пример зашифрованного файла: file_name.doc.workencryptincfolder@india.com=.cerberV5
    Генерируются уникальные параметры для каждой папки. Файлы шифруются разными ключами.

    ОтветитьУдалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *