BitCryptor

BitCryptor Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 1 BTC, чтобы вернуть файлы обратно. 

© Генеалогия: CoinVault > BitCryptor 

К зашифрованным файлам добавляется расширение .clf. 

Вероятно является приемником CoinVault, т.к. основной дизайн экрана консоли вымогателя очень похож на используемый ранее CoinVault. Распространяется с мая 2015 г. 

  Основным исполняемым файлом является bclock.exe, добавляющийся в автозагрузку Windows, чтобы заменять обои на Рабочем столе на изображение с сообщением "Your files have been encrypted" (Ваши файлы зашифрованы). 

  Консоль вымогателя, выступающая поверх всех окон, содержит подробную информацию о том, то случилось с файлами, и инструкции о том, как вернуть файлы. После истечении 96 часов, выделенных на уплату выкупа, его сумма будет увеличена на 1 Bitcoin. Имеются кнопки для просмотра всех зашифрованных файлов и дешифровки одного файла. Каждому зараженному ПК даётся уникальный Bitcoin-адрес. Жертвы должны выкупить ключи дешифровки, которые потом надо будет ввести в соответствующих полях, чтобы запустить дешифровку.

  По функционалу и выполняемым задачам BitCryptor сложнее своего предшественника CoinVault, т.к. умеет завершать процессы Windows, такие как cmd, msconfig, regedit и taskmgr. Удаляет тома теневых копий файлов, чтобы затруднить их восстановление. 

  BitCryptor Ransomware распространяется, как и другие крипто-вымогатели, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме. При шифровании действует избирательно, не обрабатывая системные директории: Windows, Program Files, Temp, All Users, Downloads. Такой подход, вероятно, призван сократить используемые ресурсы ПК и затруднить обнаружение антивирусными средствами. 

BitCryptor завершает любой процесс, который содержит следующие слова: 
shadow, cmd, processhacker, mbam, sh4, spyhunter, msconfig, taskmgr, roguekiller, rstrui, regedit, procexp

  Список файловых расширений, подвергающихся шифрованию: 
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Файлы связанные с BitCryptor Ransomware:
bclock.exe
%UserProfile%\sfile
%UserProfile%\filelist.locklst
%Temp%\wallpaper.jpg
%Temp%\BitCryptorFileList.txt

Записи реестра связанные с BitCryptor Ransomware:
HKEY..\..\..\..{Subkeys}
HKEY_CURRENT_USER \Control Panel\Desktop\Wallpaper "%Temp%\wallpaper.jpg"
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce\*BitC "%UserProfile%\bclock.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\BitC "%UserProfile%\bclock.exe"


Степень распространённости: низкая.
Подробные сведения собираются регулярно. 

© Amigo-A (Andrew Ivanov): All blog articles.