Новый, очередной вирус-шифровальщик, просит биткоины

Ответить на тему
 
Автор Сообщение

Ruvest ®

Стаж: 6 лет 3 месяца

Сообщений: 1193

Создавать темы 20-Окт-2013 15:19

[Цитировать]

Новая рансомварь просит биткойны
В последнее время распространились вырусы-вымогатели. Попадая на компьютер вредная программа шифрует файлы пользователя и требует перевести определённую сумму "автору" вируса через платёжные интернет системы. Так как вирус использует RSA1024 + AES256 шифрование то расшифровать их без закрытой части ключа, известной злоумышленнику, невозможно. Приходится либо слать деньги злоумышленнику (по опыту скажу, ключ они высылают), либо восстанавливать данные из бекапа или терять их (
Итак, появилась новая зверушка под названием CryptoLocker.
Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется во вложениях почты и не фиксируется антивирями сразу (тестировано на MSE, Trend Micro WFBS, Eset, и Касперском).
Зловред использует public 2048-bit RSA ключ и берёт private ключ с C&C сервера для зашифровки документов в алфавитном порядке на диске, а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы). При активации вирус создаёт Зашифрованные файлы попадают под маску: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif
Закончив своё тёмное дело или при отключении от интернета, CryptoLocker выводит окошко наподобие того что вы видите вверху и просит $300 или 2BTC на определённый счёт, за расшифровку данных. На всё про всё жертве даётся 72 часа (правда таймер можно обмануть через BIOS), после чего малварь самоудаляется. Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.
- Virustotal scan
Источник
[Профиль] [ЛС]

monolit1986

Стаж: 5 лет 3 месяца

Сообщений: 13

Создавать темы 21-Окт-2013 13:03 (спустя 21 час)

[Цитировать]

Хех, жесть просто
[Профиль] [ЛС]
Показать сообщения:    
Ответить на тему

Текущее время: 24-Сен 23:39

Часовой пояс: UTC + 4



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы