суббота, 30 апреля 2016 г.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового криптовымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .encrypted. С августа 2016 новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 

Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS-файл ENEL_BOLLETA.js

Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 

Детект на VirusTotal >>


HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.omon/tutu6a.php?user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:
ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: HTTP: //vrympoqs5ra34nfo.omon/tutu6a.php User_code ***
3. Следуйте инструкциям на сайте.


Степень распространённости: высокая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *