вторник, 28 апреля 2015 г.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового крипто-вымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. 

К зашифрованным файлам добавляется расширение .encrypted
С августа 2016 использовалось новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 

Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
.avi, .bat, .bmp, .chm, .cmd, .dll, .exe, .gif, .html, .ico, .inf, .ini, .lnk, .log, .manifest, .mp3, .msi, .png, .scr, .sys, .tmp, .txt, .url, .wav (24 расширения). 

Сетевые подключения и связи:
tidisow.ru (62.173.145.212)

lepodick.ru (62.173.145.212)

Степень распространённости: высокая
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS-файл ENEL_BOLLETA.js

Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 

Детект на VirusTotal >>


HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.omon/tutu6a.php?user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:

ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: HTTP: //vrympoqs5ra34nfo.omon/tutu6a.php User_code ***

3. Следуйте инструкциям на сайте.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке на форум >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams, BleepingComputer
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton