Перейти к содержимому


Фотография

ЧИТАТЬ ВСЕМ!!! Вирус-шифровальщик, просит биткоины!!!


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 visiteur

visiteur

    Пользователь

  • Пользователи
  • PipPip
  • 197 сообщений
  • ГородХарьков

Отправлено 20 October 2013 - 17:34

5eb8de5cbd1c66a052b66f8e654_prev.jpg

 

В последнее время распространились вырусы-вымогатели. Попадая на компьютер вредная программа шифрует файлы пользователя и требует перевести определённую сумму "автору" вируса через платёжные интернет системы. Так как вирус использует RSA1024 + AES256 шифрование то расшифровать их без закрытой части ключа, известной злоумышленнику, невозможно. Приходится либо слать деньги злоумышленнику (по опыту скажу, ключ они высылают), либо восстанавливать данные из бекапа или терять их (

Итак, появилась новая зверушка под названием CryptoLocker.

Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется во вложениях почты и не фиксируется антивирями сразу (тестировано на MSE, Trend Micro WFBS, Eset, и Касперском).

Зловред использует public 2048-bit RSA ключ и берёт private ключ с C&C сервера для зашифровки документов в алфавитном порядке на диске, а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы). При активации вирус создаёт Зашифрованные файлы попадают под маску: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Закончив своё тёмное дело или при отключении от интернета, CryptoLocker выводит окошко наподобие того что вы видите вверху и просит $300 или 2BTC на определённый счёт, за расшифровку данных. На всё про всё жертве даётся 72 часа (правда таймер можно обмануть через BIOS), после чего малварь самоудаляется. Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.

Делайте бэкапы, друзья, делайте регулярные бекапы.
И если на сервере это, как правило, дело системного администратора,
то домашние данные — только под вашей защитой.

 

http://gist.com.ua/с...ечения-нет.html


Сообщение отредактировал visiteur: 20 October 2013 - 17:38

  • 5

#2 les

les

    Новичок

  • Пользователи
  • Pip
  • 10 сообщений

Отправлено 20 October 2013 - 18:37

ну и было у кого такое чудо уже.... :)


  • 0

#3 Format.C^

Format.C^

    Primus inter pares

  • Супермодераторы
  • 3176 сообщений
  • ГородХарьков

Отправлено 20 October 2013 - 18:41

visiteur, для полноты картины следует уточнить, что CryptoLocker относится к так называемым ransomware и не сам попадает на машину, а только после ваших действий по согласию установки непроверенного контента.

Об этом зловреде еще несколько дней назад было упомянуто на reddit, но так как любой вменяемый майнер не домохозяйка не будет устанавливать себе на комп всякую подозрительнцю хрень, я и не постил эту новость, хотя косвенный повод для этого был - "The current variant demands $300 via GreenDot MoneyPak or 2 BTC", т.е. для анлока имеется вариант оплаты и в битках.

А вообще, на текущий момент времени проблемы по большей части уже нет - CryptoLocker детектят почти все антивири. Вирустотал подтверждает.

Но, тем не менее, присоединяюсь - будьте внимательны! Береженного бог бережет.


  • 0

Не зная покоя и отдыха, при лунном и солнечном свете мы делаем деньги из воздуха, чтоб после спустить их на ветер!

 


#4 visiteur

visiteur

    Пользователь

  • Пользователи
  • PipPip
  • 197 сообщений
  • ГородХарьков

Отправлено 20 October 2013 - 18:53

visiteur, для полноты картины следует уточнить, что CryptoLocker относится к так называемым ransomware и не сам попадает на машину, а только после ваших действий по согласию установки непроверенного контента.

Об этом зловреде еще несколько дней назад было упомянуто на reddit, но так как любой вменяемый майнер не домохозяйка не будет устанавливать себе на комп всякую подозрительнцю хрень, я и не постил эту новость, хотя косвенный повод для этого был - "The current variant demands $300 via GreenDot MoneyPak or 2 BTC", т.е. для анлока имеется вариант оплаты и в битках.

А вообще, на текущий момент времени проблемы по большей части уже нет - CryptoLocker детектят почти все антивири. Вирустотал подтверждает.

Но, тем не менее, присоединяюсь - будьте внимательны! Береженного бог бережет.

спасибо, главное чтоб знале о "заразе"... :)


  • 0

#5 cullet

cullet

    Новичок

  • Пользователи
  • Pip
  • 35 сообщений

Отправлено 28 October 2013 - 06:33

я и не постил эту новость, хотя косвенный повод для этого был - "The current variant demands $300 via GreenDot MoneyPak or 2 BTC", т.е. для анлока имеется вариант оплаты и в битках.

Если появится полностью безсерверный, безботнетный вариант шифровальщика, использующий механизм  "цифровых контрактов" (ключи для дешифровки помещаются в блокчейн таким образом, чтобы расшифровать их возможно было только после оплаты) - то таки придется запостить.


  • 0

#6 LifeStyle

LifeStyle

    Новичок

  • Пользователи
  • Pip
  • 2 сообщений

Отправлено 29 December 2013 - 02:21

Не понимаю данной проблемы, а если бекап ключей держать на флешке?


  • 0

#7 Antoine

Antoine

    Новичок

  • Пользователи
  • Pip
  • 15 сообщений

Отправлено 01 January 2014 - 23:02

Не понимаю данной проблемы, а если бекап ключей держать на флешке?

если файл на флешки значит ноу проблем:), а вот все другие файла, будут зашифрованны:)


  • 0

#8 Soronorus

Soronorus

    Новичок

  • Пользователи
  • Pip
  • 12 сообщений

Отправлено 31 January 2014 - 01:30

отсюда вывод сидеть под убунтой


  • 0

#9 BearA

BearA

    Продвинутый пользователь

  • Bits.media Team
  • PipPipPip
  • 665 сообщений
  • ГородКрасноярск

Отправлено 31 January 2014 - 17:54

visiteur,

Только узнал?

Они уже года три как популярны.

 

отсюда вывод сидеть под убунтой

Под убунтой их нет по одной простой причине - она достаточно непопулярна, и нет смысла писать под нее.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных