CryptoApp: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 19 авг 2015.

Метки:
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель CryptoApp: Технология вымогательского шифрования

    Вирус-вымогатель CryptoApp, был впервые выявлен и исследован ИБ-исследователем Йонатаном Клийнсма из компании Delft Fox-IT. Его исследовательская работа во вложении (см. PDF-файл). Один из новых вариантов этого шифровальщика-вымогателя, находящийся в процессе разработки, использует тактику объяснения пользователям инфицированнного ПК, из-за каких недочетов в безопасноcти их устройства были инфицированы.

    CryptoApp может шифровать файлы с 162 различными расширениями:
    Инфицировав целевое устройство, вредонос-вымогатель ищет и шифрует пользовательские файлы на локальных и на сетевых дисках, буквально перебирает все буквы алфавита:
    Код (Text):
    : B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:
    За расшифровку файлов злоумышленники требуют заплатить выкуп в биткоинах.

    CryptoApp1.png CryptoApp2.png

    CryptoApp3.png

    В одном из сообщений с требованием заплатить за расшифровку, которое всплывает на экране устройства жертвы, авторы вредоноса поясняют, что:
    - компьютер не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
    - пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
    - никто в мире не сможет расшифровать файлы без оригинального ключа;
    - только после проведения оплаты все файлы будут восстановлены;
    - любая попытка расшифровать файлы самостоятельно бесполезна;
    - попытка отформатировать диск и восстановить данные найдет только зашифрованные файлы;
    - рекомендуется сразу удалить антивирус, т.к. попытка его запуска приведет к полной потере файлов.

    В одном варианте вымогательского окна размер выкупа составляет 1 биткоин. Другое более агрессивное сообщение требует за расшифровку файлов 2 биткоина за процесс. Биткоин-адрес уже другой. В остальном вредонос-вымогатель действует аналогично.

    CryptoApp4.png

    Отчет по одному из вирусных файлов на сервисе Malwr:
    Malwr - Malware Analysis by Cuckoo Sandbox

    Размещенный в сети Tor предыдущий сайт создателя вредоносного ПО был удален в августе этого года. Значит вымогатель продолжил работу над своим вредоносным проектом на другой площадке.

     

    Вложения:

    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.

Поделиться этой страницей