Недавно 360 Total Security захватил новый тип вымогателей CCryptor. Злоумышленник распространил вирус, отправляя фишинговые электронные письма, а уязвимость CVE-2017-11882 использовалась для выпуска вымогателей на компьютер жертвы.
Вымогатель CCryptor шифрует файлы в 362 форматах, используя шифрование RSA + AES256.Если файл не восстановлен за 10 дней после заражения , все зашифрованные данные файла будут удалены.
CCryptor написан на C # и смешивает код с .Net Confuser, чтобы избежать уничтожения и анализа.
После запуска вирус будет автоматически скопирован в% AppData% \ Adobe \ Adobe Update.exe.
Вирус зарегистрировал себя как самостоятельного запуска:
Сначала вирус сгенерировал ключ AES, а затем использовал открытый ключ RSA хакера для шифрования ключа AES.
Информация о языке системы и текущее время также добавляются во время процесса шифрования, и зашифрованный ключ AES снова шифруется, используя модифицированного base64, зашифрованное содержимое хранится в реестре:
Зашифровать каталог файлов в следующем порядке, используя сгенерированный ключ AES:
Существует 362 формата зашифрованных файлов, а суффиксы файлов как ниже:
Затем удалить точку восстановления тени:
Компьютер перезагрузится после выполнения логики шифрования:
После перезапуска на рабочем столе создается файл приглашения вымогателей, и информация о запросах делится на две версии: русская и английская:
ЧИТАТЬ !!! Содержание как ниже, побужающее жертву отправить ключ AES пользователя автору хакера для завершения расшифровки, выкуп составляет 50 долларов и будет увеличиваться на 10 долларов через день. Если выкуп не получен через 10 дней, все зашифрованные файлы будут удалены.
Логика удаления зашифрованного файла как ниже:
Совет по безопасности:
Вымогатель CCryptor использует сильное шифрование RSA + AES256, и если выкуп не получен за 10 дней после заражения, вирус удалит все зашифрованные данные, что сделает дешифрование чрезвычайно трудным. После анализа вымогателей CCryptor, мы предлагаем следующие рекомендации по безопасности:
(1) Не открывайте электронные письма неизвестного происхождения, и отправьте такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.
(2) Не открывайте файлы, которые недостаточно безопастны, чтобы избежать макровирусов или эксплойтов.
(3) 360 Total Security своевременно обнаруживает и перехватывает такие атаки, и мы рекомендуем пользователям заходить на сайт www.360totalsecurity.com для выполнения установки антивируса и удаления вирусов.
Подробнее о 360 Total Security