среда, 8 апреля 2015 г.

Kriptovor

Kriptovor Ransomware

(шифровальщик-вымогатель)

Translation into English


  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email вымогателей, чтобы узнать стоимость декриптора. 

© Генеалогия: Rakhni > Rakhni Family > Kriptovor > Neitrino 
Изображение только логотип статьи

К зашифрованным файлам добавляется расширение .Just

Впервые Kriptovor был обнаружен в 2014 году. 

  Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 

  Говорящее название происходит от слов "крипто" и "вор" и говорит о краже данных. Первоначально Kriptovor и был похитителем паролей, но потом получил дополнительный вымогательский функционал. 

  Kriptovor обнаруживает выполнение в виртуальной среде или отсутствие подключения к Интернету, после чего прерывает шифрование до "лучших" времен. В "лучшее" время устанавливает на ПК фальшивый сертификат и загружает специальный файл с атрибутом "скрытый" — защищенный паролем RAR-архив. Для заражения используется содержащийся в этом архиве файл AdobeSystems.exe. Кроме поиска целевых типов файлов Kriptovor выполняет поиск строк в этих файлах, которые содержат информацию для входа в систему или пароль. Такие файлы помечаются и информация из них собирается до процесса шифрования. Для шифрования файлов используется LockBox 3. 

  Целями вымогателя в основном являются российские предприятия или международные компании, занимающиеся бизнесом в России. 

  Главная особенность, которая отличает Kriptovor от других вымогателей, заключается в том, что Kriptovor может удалить себя независимо от того, была ли успешной задача кражи данных и получения выкупа или нет. Эта особенность делает Kriptovor трудно обнаруживаемым.

Распространяется через email-вложения, которые могут называться примерно так "Резюме на вакантную должность". 
Адреса отправителей постоянно меняются. В ранее собранный список входят:
y.volkova@i-jazz.ru
kirova.l@mutualizm.ru
kirova.ls@orangedv.tmweb.ru
kirova-l@wibor5.ru
abramova.l@wibor5.ru
abramova@sabona.ru
l_abramova@festivalps.ru
l_abramova@wibor5.ru

При неосторожном открытии вложения с названием типа "488ba9382c9ee260bbca1ef03e843981" жертва видит документ Word, предлагающий: "Дважды щелкните, чтобы открыть резюме в Adobe Reader". 

Если жертва и тут бездумно щелкает, то действительно открывается PDF-документ, содержащий резюме девушек, якобы претенденток на вакантную должность, но при этом в систему тайно устанавливается похититель паролей KRIPTOVOR.Infostealer и поддельный сертификат. 

Подробности см. в блоге FireEye.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .accdc, .adp, .afp, .bfa, .bpk, .bsk, .cdr, .cer, .cf, .cfn, .crt, .csr, .dbc, .dbf, .dbt, .dbx, .der, .djvu, .doc, .docm, .docx, .dt, .dwf, .dwg, .dws, .dxe, .dxl, .ebd, .edb, .efb, .efn, .egg, .emd, .eml, .enc, .epf, .eql, .erf, .fb, .fb2, .fc2, .fcz, .fg, .fp3, .htm, .html, .jbc, .jif, .jiff, .jpe, .jpeg, .jpf, .jpg, .just, .kdb, .kdbx, .key, .ldf, .lgp, .md, .mdb, .mdf, .mht, .mxl, .oab, .ost, .p7, .p7b, .p7c, .pab, .pcx, .pdf, .pem, .pfx, .ply, .png, .pov, .ppsx, .ppt, .pptx, .prefab, .psb, .psd, .pst, .rar, .raw, .rev, .rtf, .rzk, .rzx, .sec, .sef, .sgn, .shy, .snk, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .tbb, .tbn, .tif, .tiff, .txt, .xcf, .xls, .xlsm, .xlsx, .xof, .zip, .zipx (115 расширений).

Степень распространённости: средняя
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton