понедельник, 25 мая 2015 г.

ToxCrypt, Tox

ToxCrypt Ransomware

Tox Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно.  Для генерации ключей шифрования используется Microsoft CryptoAPI. К зашифрованным файлам добавляется расширение  .toxcrypt. Подробно описан TrendMicro в мае 2015 года. 

Записка о выкупе называется tox.html

  Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\. 

  В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой. 

Установленные фалы вымогателя: 
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip

Список файловых расширений, подвергающихся шифрованию:
 .3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений). 

Степень распространенности: средняя.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *