пятница, 8 июля 2016 г.

CryptoFinancial

CryptoFinancial (Ranscam) Ransomware

(фейк-шифровальщик)


   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп в 0,2 BTC, чтобы вернуть файлы обратно. Цели вымогателя: базы данных, документы, PDF, фотографии, музыка, видео, общие папки и пр. Другие названия вымогателя: Ranscam.


Remove CryptoFinancial Decrypt Ranscam Decode Restore files Recovery data 
Удалить Ranscam Дешифровать Расшифровать Восстановить файлы

Вместо текстовых записок о выкупе используется скринлок с текстом.

Текст со скринлока:
YOUR COMPUTER AND FILES ARE ENCRYPTED
YOU MUST PAY 0,2 BITCOINS TO UNLOCK YOUR COMPUTER
---------------------------------------------------------------------------------------------
YOUR FILES HAVE BEEN MOVED TO A HIDDEN PARTITION AND CRYPTED.
ESSENTIAL PROGRAMS IN YOUR COMPUTER HAVE BEEN LOCKED
AND YOUR COMPUTER WILL NOT FUNCTION PROPERLY.
— 0 —
ONCE YOUR BITCOIN PAYMENT IS RECEIVED YOUR COMPUTER AND
FILES WILL BE RETURNED TO NORMAL INSTANTLY.
---------------------------------------------------------------------------------------------
YOUR BITCOIN PAYMENT ADDRESS IS:
1 G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[COPY THE ADDRESS EXACTLY I CASE SENSITIVE]
[CONFIRM PAYMENT BELOW TO UNLOCK COMPUTER AND FILES]
IF YOU DO NOT HAVE BITCOINS VISIT WWW.LOCALBITCOINS.COM TO PURCHASE
---------------------------------------------------------------------------------------------
IF YOU HAVE MADE THE BITCOIN PAYMENT CLICK BELOW TO UNLOCK YOUR COMPUTER AND FILES
----------------------------------------------
I MADE PAYMENT
PLEASE VERIFY
AND UNLOCK MY COMPUTER
----------------------------------------------

Перевод на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ 0,2 БИТКОИНА ЗА РАЗБЛОК ПК
-------------------------------------------------- ------------------------------------------
Ваши файлы перенесены в скрытый раздел и зашифрованы.
Необходимые программы в вашем ПК блокированы
И ваш компьютер будет работать неправильно.
- 0 -
Когда биткоин-платёж будет получен, ваш компьютер и
файлы будут возвращены в нормальное состояние.
-------------------------------------------------- ------------------------------------------
Ваш платежный биткоин-адрес:
1G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[Копируйте адрес без ошибок, он чувствителен к регистру]
[Подтвердите оплату ниже для разблокировки ПК и файлов]
Если нет биткоинов, посетите www.localbitcoins.com для приобретения
-------------------------------------------------- ------------------------------------------
Если вы перевели биткоины, кликните кнопку ниже для снятия блокировки ПК и файлов
--------------------------------------
Я сделал оплату
Пожалуйста, проверьте
И разблокируйте мой ПК
--------------------------------------

На самом деле CryptoFinancial не шифрует файлы, а просто удаляет их без возможности восстановления, даже если жертва заплатит выкуп.
  На скринлоке внизу имеется жёлтая кнопка для подтверждения платежа, но после нажатия на неё она преобразуется в красную с сообщением: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Вымогатели действуют как террористы. 

  Это уведомление получают все жертвы в независимости от того заплатили они выкуп или просто попробовали нажать на кнопку. Имитация верификационного процесса как бы происходит, но это обман. На самом деле, никакой проверки не происходит, а все файлы уже были удалены ранее.

  Исполняемый файл, подписанный с использованием цифрового сертификата, выданного reca.net 6 июля 2016, копирует себя в %AppData% и использует планировщик заданий для создания запланированного задания, чтобы запускаться при каждом запуске системы. А также распаковывает и сохраняет исполняемый файл в %TEMP%. Запускается пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных системных файлов, в том числе, отвечающий за восстановление системы, службу теневого копирования. Также удаляет ключи реестра Windows, связанные с загрузкой в безопасном режиме, отключает диспетчер задач. Настраивает установку Keyboard Scancode Map. После этих действий скрипт инициирует принудительное выключение системы.

  После новой загрузки системы жертве показывается экран блокировки, а по истечении 60 секунд снова инициируется выключение системы специальной командой. 

@echo off
C:\Windows\System32\shutdown.exe -s -t 60 -c "Shutting Down In 60 Seconds."

Файлы вымогателя:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe  

Список файловых расширений, подвергающихся блокированию:
Вероятно все пользовательские файлы.

Описание составлено автором 8 июля 2016, дополнено информацией от Cisco Talos 12 июля 2016. 
Talos придумали свое название: Ranscam — от слов ransom (англ. выкуп) и scam (афера)

Т.к. файлы всё же не шифруются, то CryptoFinancial (Ranscam) Ransomware я отношу к фейк-шифровальщикам

Степень распространенности: низкая.
Подробные сведения собираются. 

2 комментария:

  1. Спасибо, как раз вовремя. Поставлю аваст фри. Защитит, как думаете?

    ОтветитьУдалить
    Ответы
    1. Только не это! Если и ставить Avast, но только не фри, а Internet Security, как и продукты других компаний: Norton Internet Security, Kaspersky Internet Security.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton