Недавно 360 Total Security обнаружил новый тип вымогателей CCryptor. Злоумышленник распространял вирус, отправляя фишинговые электронные письма, используя CVE-2017-11882 для добавления вымогателей на компьютер жертвы.
Вымогатель CCryptor шифрует файлы в 362 форматах, используя шифрование RSA + AES256.Если файл не восстановлен за 10 дней после заражения , все зашифрованные данные файла будут удалены.
CCryptor написан на C # и смешивает код с .Net Confuser, чтобы избежать уничтожения и анализа.
После запуска вирус будет автоматически скопирован в% AppData% \ Adobe \ Adobe Update.exe.
Вирус зарегистрировал себя в автозапуске:
Сначала вирус сгенерировал ключ AES, а затем использовал открытый ключ RSA хакера для шифрования ключа AES.
Информация о языке системы и текущее время также добавляются во время процесса шифрования, и зашифрованный ключ AES снова шифруется, используя модифицированного base64, зашифрованное содержимое хранится в реестре:
Зашифровывается каталог файлов в следующем порядке, используя сгенерированный ключ AES:
Существует 362 формата зашифрованных файлов, расширения файлов указаны ниже:
Затем удалить точку восстановления теневой копии:
Компьютер перезагрузится после выполнения логики шифрования:
После перезапуска на рабочем столе создается файл от вымогателей, и информация о запросах делится на две версии: русская и английская:
ПРОЧИТАТЬ !!! Содержание как указано ниже, побужающее жертву отправить ключ AES пользователя автору шивровальщика для завершения расшифровки, выкуп составляет 50 долларов и будет увеличиваться на 10 долларов через день. Если выкуп не получен через 10 дней, все зашифрованные файлы будут удалены.
Логика удаления зашифрованного файла как показано ниже:
Совет по безопасности:
Вымогатель CCryptor использует сильное шифрование RSA + AES256, и если выкуп не получен за 10 дней после заражения, вирус удалит все зашифрованные данные, что сделает дешифрование чрезвычайно трудным. После анализа вымогателей CCryptor, мы предлагаем следующие рекомендации по безопасности:
(1) Не открывайте электронные письма неизвестного происхождения, и отправьте такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.
(2) Не открывайте файлы, которые недостаточно безопасны, чтобы избежать макро вирусов или эксплойтов.
(3) 360 Total Security своевременно обнаруживает и перехватывает такие атаки, и мы рекомендуем пользователям заходить на сайт www.360totalsecurity.com для выполнения установки антивируса и удаления вирусов.
источник: Download Free 360 Total Security
Вымогатель CCryptor шифрует файлы в 362 форматах, используя шифрование RSA + AES256.Если файл не восстановлен за 10 дней после заражения , все зашифрованные данные файла будут удалены.
CCryptor написан на C # и смешивает код с .Net Confuser, чтобы избежать уничтожения и анализа.
После запуска вирус будет автоматически скопирован в% AppData% \ Adobe \ Adobe Update.exe.
Вирус зарегистрировал себя в автозапуске:
Сначала вирус сгенерировал ключ AES, а затем использовал открытый ключ RSA хакера для шифрования ключа AES.
Информация о языке системы и текущее время также добавляются во время процесса шифрования, и зашифрованный ключ AES снова шифруется, используя модифицированного base64, зашифрованное содержимое хранится в реестре:
Зашифровывается каталог файлов в следующем порядке, используя сгенерированный ключ AES:
Существует 362 формата зашифрованных файлов, расширения файлов указаны ниже:
Затем удалить точку восстановления теневой копии:
Компьютер перезагрузится после выполнения логики шифрования:
После перезапуска на рабочем столе создается файл от вымогателей, и информация о запросах делится на две версии: русская и английская:
ПРОЧИТАТЬ !!! Содержание как указано ниже, побужающее жертву отправить ключ AES пользователя автору шивровальщика для завершения расшифровки, выкуп составляет 50 долларов и будет увеличиваться на 10 долларов через день. Если выкуп не получен через 10 дней, все зашифрованные файлы будут удалены.
Логика удаления зашифрованного файла как показано ниже:
Совет по безопасности:
Вымогатель CCryptor использует сильное шифрование RSA + AES256, и если выкуп не получен за 10 дней после заражения, вирус удалит все зашифрованные данные, что сделает дешифрование чрезвычайно трудным. После анализа вымогателей CCryptor, мы предлагаем следующие рекомендации по безопасности:
(1) Не открывайте электронные письма неизвестного происхождения, и отправьте такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.
(2) Не открывайте файлы, которые недостаточно безопасны, чтобы избежать макро вирусов или эксплойтов.
(3) 360 Total Security своевременно обнаруживает и перехватывает такие атаки, и мы рекомендуем пользователям заходить на сайт www.360totalsecurity.com для выполнения установки антивируса и удаления вирусов.
источник: Download Free 360 Total Security
Последнее редактирование модератором:
