вторник, 24 мая 2016 г.

ZCrypt

ZCrypt Ransomware


   Этот крипто-вымогатель шифрует данные с помощью алгоритма RSA-2048, а затем требует выкуп в 1.2 биткоина. Если выкуп не уплачивается в течение 4-х дней, то сумма возрастает до 5 биткоинов. Зашифрованные файлы получают расширение .zcryptЗаписка с требованием выкупа называется How to decrypt files.html (Как расшифровать файлы). 

Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фотографии, документы, базы данных...) были зашифрованы с уникальным ключом, сгенерированным для этого ПК. Это означает, что вы не сможете получить доступ к файлам, пока они зашифрованы. Секретный ключ хранится на наших серверах, и единственный способ получить ключ дешифрования, это сделать оплату.
Платеж должен быть сделан в Bitcoin на уникальный адрес, который мы сгенерировали для вас, Bitcoin является виртуальной валютой для онлайн-платежей. Если вы не знаете, как получить биткоины, ищите в Google "Как купить Bitcoins" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 4 ДНЯ, ЧТО ЗАПЛАТИТЬ! Когда это время закончится, сумма выкупа увеличится до 5 Bitcoin. Если вы не платите 7 дней, ваш уникальный ключ будет уничтожен, и вы уже не сможете восстановить файлы.
Чтобы вернуть файлы и разблокировать ПК, вы должны прислать 1.2 Bitcoin ($ 500) на следующий Bitcoin-адрес:
Нажмите здесь, чтобы показать Bitcoin-адрес
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ САМОСТОЯТЕЛЬНО. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. ЕСТЬ ТОЛЬКО ОДИН СПОСОБ СОХРАНИТЬ ФАЙЛЫ — СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
...
Неполный список файловых расширений, подвергающихся шифрованию:
.docm, .docx, .doc, .pdf, .odb, .odc, .odm, .odp, .ods, .odt. pptm, .pptx, .ppt, . pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls,.xlsb, .xlsm, .xlsx, .xls, .zip, .png, .jpeg, .txt, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb,.p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .sql, .wps, .emlx (195 расширений). 

Сначала сообщалось о 88 файловых расширений, которые атакует этот шифровальщик, потом их уже насчитывалось 125, а в нашем списке их уже 195. Это не предел, т.к. создатели ZCryptor продолжают расширять количество расширений.

Сбор информации по форумам показал, что ранее, в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа на русском и английском языках. В папках с зашифрованными файлами была более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html

Записка с требованием выкупа:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! 
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. 
Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! 
В письме укажите также ваш ID - 30325B37732E383xxxxx|01|V1"

  Распространяется ZCrypt с помощью email-спама, макросов-загрузчиков в документах MS Office, фишинг-рассылок, эксплойтов на зараженных сайтах, выдаёт себя за загрузчики популярных программ и фальшивые обновления для Flash Player. Вполне возможно его распространение и с помощью сетей общего доступа, кейгенов, активаторов и краков. Пик пострадавших от ранней версии в Рунете пришелся на март 2016 года, добавляемые к зашифрованным файлам расширения могли различаться. Новая майская версия ориентирована на гораздо больший захват ПК во всем мире. 

  Наиболее комфортная работа ZCrypt установлена в Windows 7, тогда как в Windows XP что-то может вообще не работать. Это объясняется тем, что в более старых операционных системах не существует нужная шифровальщику системная функция. 

   Примечательно, что у нынешнего ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Аналитики Trend Micro тоже классифицировали ZCrypt как червя

  Таким образом, ZCryptor является одним из первых крипточервей и саморазмножающихся шифровальщиков, и потому крайне опасен. Ранее, год назад, как саморазмножающийся вирус-шифровальщик проявил себя VirLock

Степень распространённости: очень высокая
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *