пятница, 8 июля 2016 г.

CryptoFinancial

CryptoFinancial (Ranscam) Ransomware

(фейк-шифровальщик)


   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп в 0,2 BTC, чтобы вернуть файлы обратно. Цели вымогателя: базы данных, документы, PDF, фотографии, музыка, видео, общие папки и пр. Другие названия вымогателя: Ranscam.


Remove CryptoFinancial Decrypt Ranscam Decode Restore files Recovery data 
Удалить Ranscam Дешифровать Расшифровать Восстановить файлы

Вместо текстовых записок о выкупе используется скринлок с текстом.

Текст со скринлока:
YOUR COMPUTER AND FILES ARE ENCRYPTED
YOU MUST PAY 0,2 BITCOINS TO UNLOCK YOUR COMPUTER
---------------------------------------------------------------------------------------------
YOUR FILES HAVE BEEN MOVED TO A HIDDEN PARTITION AND CRYPTED.
ESSENTIAL PROGRAMS IN YOUR COMPUTER HAVE BEEN LOCKED
AND YOUR COMPUTER WILL NOT FUNCTION PROPERLY.
— 0 —
ONCE YOUR BITCOIN PAYMENT IS RECEIVED YOUR COMPUTER AND
FILES WILL BE RETURNED TO NORMAL INSTANTLY.
---------------------------------------------------------------------------------------------
YOUR BITCOIN PAYMENT ADDRESS IS:
1 G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[COPY THE ADDRESS EXACTLY I CASE SENSITIVE]
[CONFIRM PAYMENT BELOW TO UNLOCK COMPUTER AND FILES]
IF YOU DO NOT HAVE BITCOINS VISIT WWW.LOCALBITCOINS.COM TO PURCHASE
---------------------------------------------------------------------------------------------
IF YOU HAVE MADE THE BITCOIN PAYMENT CLICK BELOW TO UNLOCK YOUR COMPUTER AND FILES
----------------------------------------------
I MADE PAYMENT
PLEASE VERIFY
AND UNLOCK MY COMPUTER
----------------------------------------------

Перевод на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ 0,2 БИТКОИНА ЗА РАЗБЛОК ПК
-------------------------------------------------- ------------------------------------------
Ваши файлы перенесены в скрытый раздел и зашифрованы.
Необходимые программы в вашем ПК блокированы
И ваш компьютер будет работать неправильно.
- 0 -
Когда биткоин-платёж будет получен, ваш компьютер и
файлы будут возвращены в нормальное состояние.
-------------------------------------------------- ------------------------------------------
Ваш платежный биткоин-адрес:
1G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[Копируйте адрес без ошибок, он чувствителен к регистру]
[Подтвердите оплату ниже для разблокировки ПК и файлов]
Если нет биткоинов, посетите www.localbitcoins.com для приобретения
-------------------------------------------------- ------------------------------------------
Если вы перевели биткоины, кликните кнопку ниже для снятия блокировки ПК и файлов
--------------------------------------
Я сделал оплату
Пожалуйста, проверьте
И разблокируйте мой ПК
--------------------------------------

На самом деле CryptoFinancial не шифрует файлы, а просто удаляет их без возможности восстановления, даже если жертва заплатит выкуп.
  На скринлоке внизу имеется жёлтая кнопка для подтверждения платежа, но после нажатия на неё она преобразуется в красную с сообщением: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Вымогатели действуют как террористы. 

  Это уведомление получают все жертвы в независимости от того заплатили они выкуп или просто попробовали нажать на кнопку. Имитация верификационного процесса как бы происходит, но это обман. На самом деле, никакой проверки не происходит, а все файлы уже были удалены ранее.

  Исполняемый файл, подписанный с использованием цифрового сертификата, выданного reca.net 6 июля 2016, копирует себя в %AppData% и использует планировщик заданий для создания запланированного задания, чтобы запускаться при каждом запуске системы. А также распаковывает и сохраняет исполняемый файл в %TEMP%. Запускается пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных системных файлов, в том числе, отвечающий за восстановление системы, службу теневого копирования. Также удаляет ключи реестра Windows, связанные с загрузкой в безопасном режиме, отключает диспетчер задач. Настраивает установку Keyboard Scancode Map. После этих действий скрипт инициирует принудительное выключение системы.

  После новой загрузки системы жертве показывается экран блокировки, а по истечении 60 секунд снова инициируется выключение системы специальной командой. 

@echo off
C:\Windows\System32\shutdown.exe -s -t 60 -c "Shutting Down In 60 Seconds."

Файлы вымогателя:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe  

Список файловых расширений, подвергающихся блокированию:
Вероятно все пользовательские файлы.

Описание составлено автором 8 июля 2016, дополнено информацией от Cisco Talos 12 июля 2016. 
Talos придумали свое название: Ranscam — от слов ransom (англ. выкуп) и scam (афера)

Т.к. файлы всё же не шифруются, то CryptoFinancial (Ranscam) Ransomware я отношу к фейк-шифровальщикам

Степень распространенности: низкая.
Подробные сведения собираются. 

2 комментария:

  1. Спасибо, как раз вовремя. Поставлю аваст фри. Защитит, как думаете?

    ОтветитьУдалить
    Ответы
    1. Только не это! Если и ставить Avast, но только не фри, а Internet Security, как и продукты других компаний: Norton Internet Security, Kaspersky Internet Security.

      Удалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton