CTB-Faker

CTB-Faker Ransomware

(фейк-шифровальщик, zip-вымогатель)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,08686 биткоина ($50) якобы за дешифровку. На самом деле он помещает файлы в защищенный паролем ZIP-архив, а выкуп нужен, чтобы получить пароль для этих файлов. Заявление якобы от CTB-Loker — обман. 

Remove CTB-Faker Decrypt CTB-Faker Decode Restore files Recovery data Удалить CTB-Faker Дешифровать Расшифровать Восстановить файлы

  Основной исполняемый файл CTB-Faker содержит множество изображений, которые используются в качестве фона для записки с требованием выкупа. Похоже, что девелоперы являются посетителями BleepingComputer, потому что одно из этих изображений от старого вымогателя под названием ZeroLocker имеет водяной знак BleepingComputer. Приведенное ниже изображение найдено в исполняемом файле help.exe.

  CTB-Faker в настоящее время распространяется через поддельные страницы профилей на сайтах для взрослых, которые содержат пароли и ссылки на якобы защищенное паролем стриптиз-видео. 

  Когда пользователь нажимает на ссылку в профиле, она загружает ZIP-файл, который размещен в JottaCloud. После того, как пользователь извлекает содержимое zip-файлов и запускает находящийся там исполняемый файл, то вымогатель начинает шифрование файлов.

  CTB-Faker представляет собой файл WinRAR SFX, который при выполнении извлекает множество пакетных файлов, VBS-файлы и исполняемые файлы в папку С:\ProgramData. Основной установщик запускает VBS-файл, который отображает сообщение якобы об ошибке в работе графической карты, которая якобы не позволяет просмотреть стриптиз-видео.

При этом вымогатель создает архив Users.zip с собранными из C:\Users файлами пользователя и помещает его в корень диска C:\. Этот процесс проходит очень медленно и потребляет очень много ресурсов ПК, при этом потерпевшие могут обнаружить, что их жесткие диски постоянно используются и процессор загружен гораздо больше, чем обычно.

Когда создание архива будет завершено, CTB-Faker удалит все VBS и пакетные файлы из папки C:\Programdata, а затем перезагрузит компьютер. После перезагрузки ПК и входа жертвы в систему ей будет представлен экран блокировки со следующим требованием выкупа.

Сообщается, что файлы были зашифрованы и жертва должна заплатить 50 долларов США в биткоинах на указанный адрес. После того, как оплата будет произведена нужно написать на miley@openmailbox.org, чтобы получить пароль. 

Есть также альтернативное изображение, которое содержит Bitcoin-адрес вымогателей и email-адрес help@openmailbox.org, как показано ниже. 

Bitcoin-адрес c этого изображения имеет много выплат, уже произведенных пострадавшими.

Список файловых расширений, помещающихся в архив с паролем: 

 .7z, .avi, .bmp, .cab, .dat, .data, .dll, .exe, .gif, .iso, .jpeg, .jpg, .mp3, .mp4, .msi, .png, .psd, .rar, .wav, .zip, (20 расширений).

Файлы, связанные с CTB-Faker:
C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files are encrypted.txt
C:\ProgramData\zipnew.dat
C:\your personal files are encrypted.txt

Т.к. файлы всё же не шифруются, то CTB-Faker Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: средняя.
Подробные сведения собираются.