Новый вымогатель CCryptor, зашифровывает файлы в 362 форматах

Konstant213

Пользователь
Сообщения
67
Реакции
78
Баллы
28
Недавно 360 Total Security обнаружил новый тип вымогателей CCryptor. Злоумышленник распространял вирус, отправляя фишинговые электронные письма, используя CVE-2017-11882 для добавления вымогателей на компьютер жертвы.

Вымогатель CCryptor шифрует файлы в 362 форматах, используя шифрование RSA + AES256.Если файл не восстановлен за 10 дней после заражения , все зашифрованные данные файла будут удалены.

CCryptor написан на C # и смешивает код с .Net Confuser, чтобы избежать уничтожения и анализа.
1-3.png
После запуска вирус будет автоматически скопирован в% AppData% \ Adobe \ Adobe Update.exe.
2-3.png

Вирус зарегистрировал себя в автозапуске:
3-3.png

Сначала вирус сгенерировал ключ AES, а затем использовал открытый ключ RSA хакера для шифрования ключа AES.

Информация о языке системы и текущее время также добавляются во время процесса шифрования, и зашифрованный ключ AES снова шифруется, используя модифицированного base64, зашифрованное содержимое хранится в реестре:
4-3.png

Зашифровывается каталог файлов в следующем порядке, используя сгенерированный ключ AES:
5-3.png
Существует 362 формата зашифрованных файлов, расширения файлов указаны ниже:
7-3.png

Затем удалить точку восстановления теневой копии:
8-3.png
Компьютер перезагрузится после выполнения логики шифрования:
9-3.png
После перезапуска на рабочем столе создается файл от вымогателей, и информация о запросах делится на две версии: русская и английская:
10-3.png
ПРОЧИТАТЬ !!! Содержание как указано ниже, побужающее жертву отправить ключ AES пользователя автору шивровальщика для завершения расшифровки, выкуп составляет 50 долларов и будет увеличиваться на 10 долларов через день. Если выкуп не получен через 10 дней, все зашифрованные файлы будут удалены.
11-3.png
Логика удаления зашифрованного файла как показано ниже:
12-3.png

Совет по безопасности:

Вымогатель CCryptor использует сильное шифрование RSA + AES256, и если выкуп не получен за 10 дней после заражения, вирус удалит все зашифрованные данные, что сделает дешифрование чрезвычайно трудным. После анализа вымогателей CCryptor, мы предлагаем следующие рекомендации по безопасности:

(1) Не открывайте электронные письма неизвестного происхождения, и отправьте такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.

(2) Не открывайте файлы, которые недостаточно безопасны, чтобы избежать макро вирусов или эксплойтов.

(3) 360 Total Security своевременно обнаруживает и перехватывает такие атаки, и мы рекомендуем пользователям заходить на сайт www.360totalsecurity.com для выполнения установки антивируса и удаления вирусов.

13-3.png
источник: Download Free 360 Total Security
 
Последнее редактирование модератором:
Сверху Снизу