Maktub Locker: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 25 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Шифровальщик-вымогатель Maktub Locker

    Обнаружен новый вид вымогательского ПО Maktub Locker, использующий свой Tor-сайт для изложения условий выкупа зашифрованных с помощью алгоритма AES-256 данных и оплаты 1.4 Bitcoins. По прошествии времени сумма может увеличиться и достигнуть уровня 3.9 Bitcoins. Maktub Locker пока не использует статическое расширение для зашифрованных файлов, а присваивает файлам каждой жертвы случайное расширение. Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным.

    мактуб.png

    info.png Для справки:
    Maktub - по арабски: "судьба" или "предначертанное".

    Данных об этом вредПО пока мало, но мы уже знаем, что он распространяется как исполняемый файл с расширением .SCR, прилагаемый e-mail-письмам. Это приложение сработает при открытии пользователем вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr .

    Если пользователь бездумно запустит вложение, то будет наблюдать документ Word (см. скриншот ниже), который притворяется "обновлением условия использования", а в это время вымогатель начнёт шифрование данных на компьютере жертвы.

    fake-word-document.jpg ransom-note.jpg

    Когда Maktub закончит шифрование файлов, он оставит записку с требованием выкупа под названием _DECRYPT_INFO_[random].html (см. выше).

    То, что далее предлагает Maktub Locker, отличается по деталям, демонстрируемым на их TOR-сайте для дешифрования. Этот сайт на сегодняшний день является самым дизайнерски проработанным вымогательским сайтом, из тех, что наблюдались до сегодняшнего дня.

    Сайт дешифрования разбит на 5 страниц, причем каждая имеет свою собственную художественную тему. Они, видимо, были созданы самими разработчиками, а логотип был взят у дизайнера на Deviant Art.

    Maktub.gif <= Анимированное представление пяти страниц сайта вымогателей (уменьшенная копия для ускорения загрузки страниц форума).

    1) Первая страница сайта дешифрования представляет собой краткое изложение того, что случилось с файлами жертвы.
    2) На следующей странице представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
    3) На третьей странице показаны различные этапы оплаты, которые может выбрать жертва. Чем больше времени пройдет, тем выше сумма выкупа.
    4) Четвертая страница предоставляет уникальный Bitcoin-адрес, который жертва должна использовать для отправки выкупа.
    5) И, наконец, пятая страница представляет стандартный способ, как купить Bitcoins-страницу.

    Как только появится больше информации, мы будем рады разместить её на сайте. Следите за обновлениями.


    Дополнение:
    Maktub Locker упакован в хорошо написанном Crypter / FUD, так что его код первоначально не может быть прочитан. Подробнее, читайте здесь.

    [​IMG] Закон об официальном запрете биткоинов в РФ
     
    lilia-5-0, Охотник и Theriollaria нравится это.

Поделиться этой страницей