четверг, 19 мая 2016 г.

Zyklon Locker

Zyklon Locker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов. Название Zyklon переводится с английского как "циклон". 

  Генеалогия: GNL Locker > Zyklon Locker

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, DB-загрузок, через вредоносные вложения в фишинг-письма, с помощью фальшивых исполняемых файлов популярных программ, через поддельные Java или флэш-обновления и сети общего доступа. 

  Записки с требованием выкупа и с инструкциями для уплаты выкупа UNLOCK_FILES_README.html и UNLOCK_FILES_README.txt добавляются на Рабочий стол и в каждую папку с зашифрованными файлами. 

 По некоторым данным, Zyklon — это модификация уже известного GNL Locker, созданного для Германии и Нидерландов, только получившая новое расширение и название записок о выкупе. Информация проверяется. 

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tar.gz, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd,  .vcf, .vob, .wav, .wma, .wmv,  .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (157 расширений). 

Это документы MS Office, OpenOffice, файлы изображений, аудио-видео, CAD-файлы, зашифрованные легитимными программами файлы, CAD-файлы, образы, проекты, файлы других прикладных программ. 

Zyklon добавляется в автозагрузку системы, изменив одну из следующих записей реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Файлы, принадлежащие вымогателю:
Zyklon.exe - исполняемый файл;
UNLOCK_FILES_README.html - записка о выкупе в HTML-формате;
UNLOCK_FILES_README.txt - записка о выкупе в TXT-формате. 

Степень распространённости: низкая. 
Подробные сведения собираются.


Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *