SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,954
- Реакции
- 6,611
Шифровальщик-вымогатель CryptoApp: Технология вымогательского шифрования
Вирус-вымогатель CryptoApp, был впервые выявлен и исследован ИБ-исследователем Йонатаном Клийнсма из компании Delft Fox-IT. Его исследовательская работа во вложении (см. PDF-файл). Один из новых вариантов этого шифровальщика-вымогателя, находящийся в процессе разработки, использует тактику объяснения пользователям инфицированнного ПК, из-за каких недочетов в безопасноcти их устройства были инфицированы.
CryptoApp может шифровать файлы с 162 различными расширениями:
Инфицировав целевое устройство, вредонос-вымогатель ищет и шифрует пользовательские файлы на локальных и на сетевых дисках, буквально перебирает все буквы алфавита:
За расшифровку файлов злоумышленники требуют заплатить выкуп в биткоинах.
В одном из сообщений с требованием заплатить за расшифровку, которое всплывает на экране устройства жертвы, авторы вредоноса поясняют, что:
- компьютер не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка отформатировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. попытка его запуска приведет к полной потере файлов.
В одном варианте вымогательского окна размер выкупа составляет 1 биткоин. Другое более агрессивное сообщение требует за расшифровку файлов 2 биткоина за процесс. Биткоин-адрес уже другой. В остальном вредонос-вымогатель действует аналогично.
Отчет по одному из вирусных файлов на сервисе Malwr:
Malwr - Malware Analysis by Cuckoo Sandbox
Размещенный в сети Tor предыдущий сайт создателя вредоносного ПО был удален в августе этого года. Значит вымогатель продолжил работу над своим вредоносным проектом на другой площадке.
Вирус-вымогатель CryptoApp, был впервые выявлен и исследован ИБ-исследователем Йонатаном Клийнсма из компании Delft Fox-IT. Его исследовательская работа во вложении (см. PDF-файл). Один из новых вариантов этого шифровальщика-вымогателя, находящийся в процессе разработки, использует тактику объяснения пользователям инфицированнного ПК, из-за каких недочетов в безопасноcти их устройства были инфицированы.
CryptoApp может шифровать файлы с 162 различными расширениями:
Инфицировав целевое устройство, вредонос-вымогатель ищет и шифрует пользовательские файлы на локальных и на сетевых дисках, буквально перебирает все буквы алфавита:
Код:
: B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:За расшифровку файлов злоумышленники требуют заплатить выкуп в биткоинах.
В одном из сообщений с требованием заплатить за расшифровку, которое всплывает на экране устройства жертвы, авторы вредоноса поясняют, что:
- компьютер не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка отформатировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. попытка его запуска приведет к полной потере файлов.
В одном варианте вымогательского окна размер выкупа составляет 1 биткоин. Другое более агрессивное сообщение требует за расшифровку файлов 2 биткоина за процесс. Биткоин-адрес уже другой. В остальном вредонос-вымогатель действует аналогично.
Отчет по одному из вирусных файлов на сервисе Malwr:
Malwr - Malware Analysis by Cuckoo Sandbox
Размещенный в сети Tor предыдущий сайт создателя вредоносного ПО был удален в августе этого года. Значит вымогатель продолжил работу над своим вредоносным проектом на другой площадке.