Если вы не видите здесь изображений, то используйте VPN.

пятница, 24 июня 2016 г.

TowerWeb

TowerWeb Ransonware

(фейк-шифровальщик)


   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп 100 долларов в биткоинах. Эту сумму нужно уплатить в течение 24 часов, иначе через сутки она возрастет до 150 долларов. По прошествии 72 часов без уплаты выкупа все файлы и сама операционная система будут удалены. 

  Вместо текстовой записки о выкупе используется изображение Payment_Instructions.jpg, которое ставится в качестве обоев рабочего стола. 

Считанное с экрана содержание:
............WRITE THIS INFORMATION DOWN............
Ransom Id: ***
BTC Address: ***
Email: towerweb@yandex.com
IF YOU LOOSE THIS INFO YOU WILL NOT BE ABLE TO CONTACT
............WRITE THIS INFORMATION DOWN............

YOU WILL NEED TO USE ANOTHER

DEVICE TO EMAIL US. YOUR
COMPUTER WILL NOT FUNCTION PROPERLY
UNTIL YOU PAY.

Your computer files have been encrypted moved to a hidden ENCRYPTED partition in your computer.

You must pay $100 USD within 24 hours or $150 after 24 hours in Bltcoint to get them back.
After 72 hours all files will be deleted including your operating system.

If you do not have Bitcoin visit www.LocalBitcoins.com to purchase them.

Email us if you need assistance or have paid.

Email: towerweb@yandex.com


In the mean time you will notice your computer will not respond to your commands.

Dont worry... everything will be back to normal when you pay.
Once you pay all your files and programs will be decrypted and your computer restored quickly.
Without the decryption password you will not get them back and your computer will not function properly.
Once payment is received you will get the decryption password and simple instructions to restore all
your files and computer to normal instantly. Takes about five minutes to restore everything to normal.
Once again... after 72 hours all files will be deleted including your operating system.

Email us if you need assistance or have paid.

Email: towerweb@yandex.com

The same information is on your desktop.

DO NOT LOOSE THE CONTACT INFO

HINT: IF YOU CANT CLICK ON ANYTHING YOUR

MOUSE BUTTONS HAVE ALREADY BEEN REVERSED.
MORE CHANGES WILL COME UNTIL YOU PAY.

Перевод фрагмента на русский язык:
***
Ваши компьютерные файлы были зашифрованы и перемещены в скрытый зашифрованный раздел в вашем компьютере.
Вы должны заплатить $ 100 долларов в течение 24 часов или $ 150 после 24 часов в Bltcoint, чтобы получить их обратно.
Через 72 часа все файлы будут удалены, в том числе операционная система.
***


Первая характерная особенность: на самом деле этот вымогатель не шифрует файлы, а сходу удаляет их специальной командой. Буквально, это не криптовымогатель, а винлок, позиционирующий себя как шифровальщик. Детект на VirusTotal + ещё один.  

Вторая характерная особенность: вымогатель меняет местами кнопки мыши, как будто играя с жертвой. Для выполнения этого фокуса используется следующая команда: RUNDLL32 USER32.DLL,SwapMouseButton

Внимание!  Если вы пострадали от этого криптовымогателя, то вам следует обратиться за помощью на форум bleepingcomputer.com

Дополнения от 24.06.2013
Возросла сумма выкупа: до $125 за 24 часа и $199 после.
Сменилось изображение с текстом вымогателя.  

Разновидностью или подражанием TowerWeb является вымогатель AnonPop, в котором используется аналогичное этому изображение для блокировщика экрана. Разница только в emai-адресе. 

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая. 
Подробные сведения собираются

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *