• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Maktub Locker: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель Maktub Locker

Обнаружен новый вид вымогательского ПО Maktub Locker, использующий свой Tor-сайт для изложения условий выкупа зашифрованных с помощью алгоритма AES-256 данных и оплаты 1.4 Bitcoins. По прошествии времени сумма может увеличиться и достигнуть уровня 3.9 Bitcoins. Maktub Locker пока не использует статическое расширение для зашифрованных файлов, а присваивает файлам каждой жертвы случайное расширение. Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным.

мактуб.png


info.png
Для справки:
Maktub - по арабски: "судьба" или "предначертанное".

Данных об этом вредПО пока мало, но мы уже знаем, что он распространяется как исполняемый файл с расширением .SCR, прилагаемый e-mail-письмам. Это приложение сработает при открытии пользователем вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr .

Если пользователь бездумно запустит вложение, то будет наблюдать документ Word (см. скриншот ниже), который притворяется "обновлением условия использования", а в это время вымогатель начнёт шифрование данных на компьютере жертвы.

fake-word-document.jpg ransom-note.jpg

Когда Maktub закончит шифрование файлов, он оставит записку с требованием выкупа под названием _DECRYPT_INFO_[random].html (см. выше).

То, что далее предлагает Maktub Locker, отличается по деталям, демонстрируемым на их TOR-сайте для дешифрования. Этот сайт на сегодняшний день является самым дизайнерски проработанным вымогательским сайтом, из тех, что наблюдались до сегодняшнего дня.

Сайт дешифрования разбит на 5 страниц, причем каждая имеет свою собственную художественную тему. Они, видимо, были созданы самими разработчиками, а логотип был взят у дизайнера на Deviant Art.

Maktub.gif <= Анимированное представление пяти страниц сайта вымогателей (уменьшенная копия для ускорения загрузки страниц форума).

1) Первая страница сайта дешифрования представляет собой краткое изложение того, что случилось с файлами жертвы.
2) На следующей странице представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
3) На третьей странице показаны различные этапы оплаты, которые может выбрать жертва. Чем больше времени пройдет, тем выше сумма выкупа.
4) Четвертая страница предоставляет уникальный Bitcoin-адрес, который жертва должна использовать для отправки выкупа.
5) И, наконец, пятая страница представляет стандартный способ, как купить Bitcoins-страницу.

Как только появится больше информации, мы будем рады разместить её на сайте. Следите за обновлениями.


Дополнение:
Maktub Locker упакован в хорошо написанном Crypter / FUD, так что его код первоначально не может быть прочитан. Подробнее, читайте здесь.

info-png.28850
Закон об официальном запрете биткоинов в РФ
 
Назад
Сверху Снизу