пятница, 10 июня 2016 г.

Crysis XTBL

Crysis XTBL Ransomware



   Семейство вымогателей Crisis способно шифровать файлы на жёстких, съёмных и сетевых дисках с помощью AES-256 (CBC-режим, RSA-ключ). К зашифрованным файлам теперь добавляется составное расширение по шаблону .ID%variable%.%email_address%.xtbl и адресное .centurion_legion@aol.com.xtbl

На данный момент известны как минимум 4 модификации вариаций этого семейства вымогателей, отличающиеся способом шифрования файлов, и 5 версий, различающиеся способом именования:
*.{email}.ext
*.ID*.email.xtbl
*.ID*.{email}.xtbl
*.id-*.{email}.ext
*.{email}.xtbl

 Название в вирусной базе Dr.Web Trojan.Encoder.3953

  Распространяется Crysis XTBL с февраля 2016 с помощью email-спама с вредоносным вложением, содержащим файлы с двойным расширением. Также может распространяться под видом установщиков для различных легитимных приложений. Чтобы закрепиться в системе прописывается в автозагрузку. 

  После запуска в системе он шифрует 185 типов файлов и файлы без расширений на локальных и съемных дисках (USB и внешних), на сетевых ресурсах, оставляя нетронутыми только файлы, нужные операционной системе и файлы вредоносной программы. После шифрования все теневые копии файлов удаляются. 

Crisis отправляет имя компьютера и несколько зашифрованных файлов на удаленный сервер, подконтрольный злоумышленникам. В некоторых версиях ОС Windows, он также пытается запустить себя с правами администратора, таким образом, расширяя список файлов, которые будут зашифрованы. Crisis также собирает с зараженного ПК информацию о логин-паролях, сгенерированных программами данных, из мессенджеров, адресной книги, из браузеров, веб-камеры, буфера обмена и также оправляет их на удаленный сервер. 

  После завершения своих вредоносных намерений, создается текстовый файл How to decrypt your files.txt и сохраняется на рабочем столе. В некоторых случаях используется еще файл DECRYPT.jpg, который заменяет обои рабочего стола, показывая сообщение с требованием.

  Информация из записки о выкупе ограничена двумя email-адресами вымогателей. После отправки письма вымогателям жертва получает дальнейшие инструкции. Ответ включает в себя стоимость декриптора (от 400 до 900 евро), указание купить биткойны и отправить их на Bitcoin-адрес вымогателей.

Вымогатели оставляют в записках следующие электронные адреса:
dalailama2015@protonmail.ch
Vegclass@aol.com
a_princ@aol.com
TREE_OF_LIFE@INDIA.COM
redshitline@india.com
milarepa.lotos@aol.com
Ecovector3@aol.com
Eco_vector@aol.com
Eco_vector@india.com
sub_zero12@aol.com
gerkaman@aol.com
freetibet@india.com
cyber_baba2@aol.com
siddhiup2@india.com
gruzinrussian@aol.com
ramachandra7@india.com
goldman0@india.com
centurion_legion@aol.com
legioner_seven@aol.com

Степень распространённости: перспективно высокая.
Подробные сведения собираются. 

2 комментария:

  1. any idea about this ransomware

    {meldonii@india.com}.xtbl

    ОтветитьУдалить
    Ответы
    1. Use RakhniDecryptor http://support.kaspersky.com/viruses/disinfection/10556
      If it is not decrypted, save files, and stay tuned.

      Удалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *