пятница, 10 июня 2016 г.

Crysis XTBL

Crysis XTBL Ransomware



   Семейство вымогателей Crisis способно шифровать файлы на жёстких, съёмных и сетевых дисках с помощью AES-256 (CBC-режим, RSA-ключ). К зашифрованным файлам теперь добавляется составное расширение по шаблону .ID%variable%.%email_address%.xtbl и адресное .centurion_legion@aol.com.xtbl

На данный момент известны как минимум 4 модификации вариаций этого семейства вымогателей, отличающиеся способом шифрования файлов, и 5 версий, различающиеся способом именования:
*.{email}.ext
*.ID*.email.xtbl
*.ID*.{email}.xtbl
*.id-*.{email}.ext
*.{email}.xtbl

 Название в вирусной базе Dr.Web Trojan.Encoder.3953

  Распространяется Crysis XTBL с февраля 2016 с помощью email-спама с вредоносным вложением, содержащим файлы с двойным расширением. Также может распространяться под видом установщиков для различных легитимных приложений. Чтобы закрепиться в системе прописывается в автозагрузку. 

  После запуска в системе он шифрует 185 типов файлов и файлы без расширений на локальных и съемных дисках (USB и внешних), на сетевых ресурсах, оставляя нетронутыми только файлы, нужные операционной системе и файлы вредоносной программы. После шифрования все теневые копии файлов удаляются. 

Crisis отправляет имя компьютера и несколько зашифрованных файлов на удаленный сервер, подконтрольный злоумышленникам. В некоторых версиях ОС Windows, он также пытается запустить себя с правами администратора, таким образом, расширяя список файлов, которые будут зашифрованы. Crisis также собирает с зараженного ПК информацию о логин-паролях, сгенерированных программами данных, из мессенджеров, адресной книги, из браузеров, веб-камеры, буфера обмена и также оправляет их на удаленный сервер. 

  После завершения своих вредоносных намерений, создается текстовый файл How to decrypt your files.txt и сохраняется на рабочем столе. В некоторых случаях используется еще файл DECRYPT.jpg, который заменяет обои рабочего стола, показывая сообщение с требованием.

  Информация из записки о выкупе ограничена двумя email-адресами вымогателей. После отправки письма вымогателям жертва получает дальнейшие инструкции. Ответ включает в себя стоимость декриптора (от 400 до 900 евро), указание купить биткойны и отправить их на Bitcoin-адрес вымогателей.

Вымогатели оставляют в записках следующие электронные адреса:
dalailama2015@protonmail.ch
Vegclass@aol.com
a_princ@aol.com
TREE_OF_LIFE@INDIA.COM
redshitline@india.com
milarepa.lotos@aol.com
Ecovector3@aol.com
Eco_vector@aol.com
Eco_vector@india.com
sub_zero12@aol.com
gerkaman@aol.com
freetibet@india.com
cyber_baba2@aol.com
siddhiup2@india.com
gruzinrussian@aol.com
ramachandra7@india.com
goldman0@india.com
centurion_legion@aol.com
legioner_seven@aol.com

Степень распространённости: перспективно высокая.
Подробные сведения собираются. 

3 комментария:

  1. any idea about this ransomware

    {meldonii@india.com}.xtbl

    ОтветитьУдалить
    Ответы
    1. Use RakhniDecryptor http://support.kaspersky.com/viruses/disinfection/10556
      If it is not decrypted, save files, and stay tuned.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton