Если вы не видите здесь изображений, то используйте VPN.

понедельник, 11 июля 2016 г.

CTB-Faker

CTB-Faker Ransomware

(фейк-шифровальщик, zip-вымогатель)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,08686 биткоина ($50) якобы за дешифровку. На самом деле он помещает файлы в защищенный паролем ZIP-архив, а выкуп нужен, чтобы получить пароль для этих файлов. Заявление якобы от CTB-Loker — обман. 


Remove CTB-Faker Decrypt CTB-Faker Decode Restore files Recovery data Удалить CTB-Faker Дешифровать Расшифровать Восстановить файлы

  Основной исполняемый файл CTB-Faker содержит множество изображений, которые используются в качестве фона для записки с требованием выкупа. Похоже, что девелоперы являются посетителями BleepingComputer, потому что одно из этих изображений от старого вымогателя под названием ZeroLocker имеет водяной знак BleepingComputer. Приведенное ниже изображение найдено в исполняемом файле help.exe.

  CTB-Faker в настоящее время распространяется через поддельные страницы профилей на сайтах для взрослых, которые содержат пароли и ссылки на якобы защищенное паролем стриптиз-видео. 

  Когда пользователь нажимает на ссылку в профиле, она загружает ZIP-файл, который размещен в JottaCloud. После того, как пользователь извлекает содержимое zip-файлов и запускает находящийся там исполняемый файл, то вымогатель начинает шифрование файлов.

  CTB-Faker представляет собой файл WinRAR SFX, который при выполнении извлекает множество пакетных файлов, VBS-файлы и исполняемые файлы в папку С:\ProgramData. Основной установщик запускает VBS-файл, который отображает сообщение якобы об ошибке в работе графической карты, которая якобы не позволяет просмотреть стриптиз-видео.

При этом вымогатель создает архив Users.zip с собранными из C:\Users файлами пользователя и помещает его в корень диска C:\. Этот процесс проходит очень медленно и потребляет очень много ресурсов ПК, при этом потерпевшие могут обнаружить, что их жесткие диски постоянно используются и процессор загружен гораздо больше, чем обычно.

Когда создание архива будет завершено, CTB-Faker удалит все VBS и пакетные файлы из папки C:\Programdata, а затем перезагрузит компьютер. После перезагрузки ПК и входа жертвы в систему ей будет представлен экран блокировки со следующим требованием выкупа.

Сообщается, что файлы были зашифрованы и жертва должна заплатить 50 долларов США в биткоинах на указанный адрес. После того, как оплата будет произведена нужно написать на miley@openmailbox.org, чтобы получить пароль. 

Есть также альтернативное изображение, которое содержит Bitcoin-адрес вымогателей и email-адрес help@openmailbox.org, как показано ниже. 

Bitcoin-адрес c этого изображения имеет много выплат, уже произведенных пострадавшими.

Список файловых расширений, помещающихся в архив с паролем: 
 .7z, .avi, .bmp, .cab, .dat, .data, .dll, .exe, .gif, .iso, .jpeg, .jpg, .mp3, .mp4, .msi, .png, .psd, .rar, .wav, .zip, (20 расширений).

Файлы, связанные с CTB-Faker:
C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files are encrypted.txt
C:\ProgramData\zipnew.dat
C:\your personal files are encrypted.txt

Т.к. файлы всё же не шифруются, то CTB-Faker Ransomware я отношу к фейк-шифровальщикам

Степень распространенности: средняя.
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *