вторник, 10 мая 2016 г.

BitCryptor

BitCryptor Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 1 BTC, чтобы вернуть файлы обратно. 

© Генеалогия: CoinVault > BitCryptor 

К зашифрованным файлам добавляется расширение .clf

Вероятно является приемником CoinVault, т.к. основной дизайн экрана консоли вымогателя очень похож на используемый ранее CoinVault. Распространяется с мая 2015 г. 

  Основным исполняемым файлом является bclock.exe, добавляющийся в автозагрузку Windows, чтобы заменять обои на Рабочем столе на изображение с сообщением "Your files have been encrypted" (Ваши файлы зашифрованы). 


  Консоль вымогателя, выступающая поверх всех окон, содержит подробную информацию о том, то случилось с файлами, и инструкции о том, как вернуть файлы. После истечении 96 часов, выделенных на уплату выкупа, его сумма будет увеличена на 1 Bitcoin. Имеются кнопки для просмотра всех зашифрованных файлов и дешифровки одного файла. Каждому зараженному ПК даётся уникальный Bitcoin-адрес. Жертвы должны выкупить ключи дешифровки, которые потом надо будет ввести в соответствующих полях, чтобы запустить дешифровку.

  По функционалу и выполняемым задачам BitCryptor сложнее своего предшественника CoinVault, т.к. умеет завершать процессы Windows, такие как cmd, msconfig, regedit и taskmgr. Удаляет тома теневых копий файлов, чтобы затруднить их восстановление. 

  BitCryptor Ransomware распространяется, как и другие крипто-вымогатели, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме. При шифровании действует избирательно, не обрабатывая системные директории: Windows, Program Files, Temp, All Users, Downloads. Такой подход, вероятно, призван сократить используемые ресурсы ПК и затруднить обнаружение антивирусными средствами. 

BitCryptor завершает любой процесс, который содержит следующие слова: 
shadow, cmd, processhacker, mbam, sh4, spyhunter, msconfig, taskmgr, roguekiller, rstrui, regedit, procexp

  Список файловых расширений, подвергающихся шифрованию: 
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Файлы связанные с BitCryptor Ransomware:
bclock.exe
%UserProfile%\sfile
%UserProfile%\filelist.locklst
%Temp%\wallpaper.jpg
%Temp%\BitCryptorFileList.txt

Записи реестра связанные с BitCryptor Ransomware:
HKEY..\..\..\..{Subkeys}
HKEY_CURRENT_USER \Control Panel\Desktop\Wallpaper "%Temp%\wallpaper.jpg"
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce\*BitC "%UserProfile%\bclock.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\BitC "%UserProfile%\bclock.exe"


Степень распространённости: низкая.
Подробные сведения собираются регулярно. 

© Amigo-A (Andrew Ivanov): All blog articles. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton