Недавно 360 Total Security захватил новый тип вымогателей CCryptor. Злоумышленник распространил вирус, отправляя фишинговые электронные письма, а уязвимость CVE-2017-11882 использовалась для выпуска вымогателей на компьютер жертвы.

Вымогатель CCryptor шифрует файлы в 362 форматах, используя шифрование RSA + AES256.Если файл не восстановлен за 10 дней после заражения , все зашифрованные данные файла будут удалены.

CCryptor написан на C # и смешивает код с .Net Confuser, чтобы избежать уничтожения и анализа.

После запуска вирус будет автоматически скопирован в% AppData% \ Adobe \ Adobe Update.exe.

Вирус зарегистрировал себя как самостоятельного запуска:

Сначала вирус сгенерировал ключ AES, а затем использовал открытый ключ RSA хакера для шифрования ключа AES.

Информация о языке системы и текущее время также добавляются во время процесса шифрования, и зашифрованный ключ AES снова шифруется, используя модифицированного base64, зашифрованное содержимое хранится в реестре:

Зашифровать каталог файлов в следующем порядке, используя сгенерированный ключ AES:

Существует 362 формата зашифрованных файлов, а суффиксы файлов как ниже:

Затем удалить точку восстановления тени:

Компьютер перезагрузится после выполнения логики шифрования:

После перезапуска на рабочем столе создается файл приглашения вымогателей, и информация о запросах делится на две версии: русская и английская:

ЧИТАТЬ !!! Содержание как ниже, побужающее жертву отправить ключ AES пользователя автору хакера для завершения расшифровки, выкуп составляет 50 долларов и будет увеличиваться на 10 долларов через день. Если выкуп не получен через 10 дней, все зашифрованные файлы будут удалены.

Логика удаления зашифрованного файла как ниже:

Совет по безопасности:

Вымогатель CCryptor использует сильное шифрование RSA + AES256, и если выкуп не получен за 10 дней после заражения, вирус удалит все зашифрованные данные, что сделает дешифрование чрезвычайно трудным. После анализа вымогателей CCryptor, мы предлагаем следующие рекомендации по безопасности:

(1) Не открывайте электронные письма неизвестного происхождения, и отправьте такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.

(2) Не открывайте файлы, которые недостаточно безопастны, чтобы избежать макровирусов или эксплойтов.

(3) 360 Total Security своевременно обнаруживает и перехватывает такие атаки, и мы рекомендуем  пользователям заходить на сайт www.360totalsecurity.com для выполнения установки антивируса и  удаления вирусов.