понедельник, 11 июля 2016 г.

CTB-Faker

CTB-Faker Ransomware

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,08686 биткоина ($50) якобы за дешифровку. На самом деле он помещает файлы в защищенный паролем ZIP-архив, а выкуп нужен, чтобы получить пароль для этих файлов. Заявление якобы от CTB-Loker — обман. 


Remove CTB-Faker Decrypt CTB-Faker Decode Restore files Recovery data Удалить CTB-Faker Дешифровать Расшифровать Восстановить файлы

  Основной исполняемый файл CTB-Faker содержит множество изображений, которые используются в качестве фона для записки с требованием выкупа. Похоже, что девелоперы являются посетителями BleepingComputer, потому что одно из этих изображений от старого вымогателя под названием ZeroLocker имеет водяной знак BleepingComputer. Приведенное ниже изображение найдено в исполняемом файле help.exe.

  CTB-Faker в настоящее время распространяется через поддельные страницы профилей на сайтах для взрослых, которые содержат пароли и ссылки на якобы защищенное паролем стриптиз-видео. 

  Когда пользователь нажимает на ссылку в профиле, она загружает ZIP-файл, который размещен в JottaCloud. После того, как пользователь извлекает содержимое zip-файлов и запускает находящийся там исполняемый файл, то вымогатель начинает шифрование файлов.

  CTB-Faker представляет собой файл WinRAR SFX, который при выполнении извлекает множество пакетных файлов, VBS-файлы и исполняемые файлы в папку С:\ProgramData. Основной установщик запускает VBS-файл, который отображает сообщение якобы об ошибке в работе графической карты, которая якобы не позволяет просмотреть стриптиз-видео.

При этом вымогатель создает архив Users.zip с собранными из C:\Users файлами пользователя и помещает его в корень диска C:\. Этот процесс проходит очень медленно и потребляет очень много ресурсов ПК, при этом потерпевшие могут обнаружить, что их жесткие диски постоянно используются и процессор загружен гораздо больше, чем обычно.

Когда создание архива будет завершено, CTB-Faker удалит все VBS и пакетные файлы из папки C:\Programdata, а затем перезагрузит компьютер. После перезагрузки ПК и входа жертвы в систему ей будет представлен экран блокировки со следующим требованием выкупа.

Сообщается, что файлы были зашифрованы и жертва должна заплатить 50 долларов США в биткоинах на указанный адрес. После того, как оплата будет произведена нужно написать на miley@openmailbox.org, чтобы получить пароль. 

Есть также альтернативное изображение, которое содержит Bitcoin-адрес вымогателей и email-адрес help@openmailbox.org, как показано ниже. 

Bitcoin-адрес c этого изображения имеет много выплат, уже произведенных пострадавшими.

Список файловых расширений, помещающихся в архив с паролем: 
.exe,  .msi,  .dll,  .jpg,  .jpeg,  .bmp,  .gif,  .png,  .psd,  .mp3,  .wav,  .mp4,  .avi,  .zip,  .rar,  .iso,  .7z,  .cab,  .dat,  .data

Файлы, связанные с CTB-Faker:
C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files are encrypted.txt
C:\ProgramData\zipnew.dat
C:\your personal files are encrypted.txt

Т.к. файлы всё же не шифруются, то CTB-Faker Ransomware я отношу к фейк-шифровальщикам

Степень распространенности: средняя.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *