TowerWeb Ransonware
(фейк-шифровальщик)
Вместо текстовой записки о выкупе используется изображение Payment_Instructions.jpg, которое ставится в качестве обоев рабочего стола.
Считанное с экрана содержание:
............WRITE THIS INFORMATION DOWN............
Ransom Id: ***
BTC Address: ***
Email: towerweb@yandex.com
IF YOU LOOSE THIS INFO YOU WILL NOT BE ABLE TO CONTACT
............WRITE THIS INFORMATION DOWN............
YOU WILL NEED TO USE ANOTHER
DEVICE TO EMAIL US. YOUR
COMPUTER WILL NOT FUNCTION PROPERLY
UNTIL YOU PAY.
Your computer files have been encrypted moved to a hidden ENCRYPTED partition in your computer.
You must pay $100 USD within 24 hours or $150 after 24 hours in Bltcoint to get them back.
After 72 hours all files will be deleted including your operating system.
If you do not have Bitcoin visit www.LocalBitcoins.com to purchase them.
Email us if you need assistance or have paid.
Email: towerweb@yandex.com
In the mean time you will notice your computer will not respond to your commands.
Dont worry... everything will be back to normal when you pay.
Once you pay all your files and programs will be decrypted and your computer restored quickly.
Without the decryption password you will not get them back and your computer will not function properly.
Once payment is received you will get the decryption password and simple instructions to restore all
your files and computer to normal instantly. Takes about five minutes to restore everything to normal.
Once again... after 72 hours all files will be deleted including your operating system.
Email us if you need assistance or have paid.
Email: towerweb@yandex.com
The same information is on your desktop.
DO NOT LOOSE THE CONTACT INFO
HINT: IF YOU CANT CLICK ON ANYTHING YOUR
MOUSE BUTTONS HAVE ALREADY BEEN REVERSED.
MORE CHANGES WILL COME UNTIL YOU PAY.
Перевод фрагмента на русский язык:
***
Ваши компьютерные файлы были зашифрованы и перемещены в скрытый зашифрованный раздел в вашем компьютере.
Вы должны заплатить $ 100 долларов в течение 24 часов или $ 150 после 24 часов в Bltcoint, чтобы получить их обратно.
Через 72 часа все файлы будут удалены, в том числе операционная система.
***
Первая характерная особенность: на самом деле этот вымогатель не шифрует файлы, а сходу удаляет их специальной командой. Буквально, это не криптовымогатель, а винлок, позиционирующий себя как шифровальщик. Детект на VirusTotal + ещё один.
Вторая характерная особенность: вымогатель меняет местами кнопки мыши, как будто играя с жертвой. Для выполнения этого фокуса используется следующая команда: RUNDLL32 USER32.DLL,SwapMouseButton
Внимание! Если вы пострадали от этого криптовымогателя, то вам следует обратиться за помощью на форум bleepingcomputer.com
Дополнения от 24.06.2013
Возросла сумма выкупа: до $125 за 24 часа и $199 после.
Сменилось изображение с текстом вымогателя.
Разновидностью или подражанием TowerWeb является вымогатель AnonPop, в котором используется аналогичное этому изображение для блокировщика экрана. Разница только в emai-адресе.
Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам.
Степень распространённости: низкая.
Подробные сведения собираются
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.