Энциклопедия мошенничества: лохотроны, аферы, обманы, разводы... С вами с 2013 года...
Комментарии
Чита
Здр. Вчера заказал око плюс, написано чт...
Тверь
Сегодня по своей глупости отправил фото ...
Усть-Каменогорск
Меня с 30 июня терраризируют с интернета...
Ивановская
Я заказала Варитонус,мне его уже выслали...
Архара
Здравствуйте, заказал препарат Артерио, ...
Николай Дмитриевич
Полностью с Вами согласен. Лохотронщики ...
Евгений
Остерегайтесь мошeнников!!! Поиск по юри...
 

Экстремально опасный вирус CryptoLocker или Очередной баннер-вымогатель, уничтожающий данные пользователя...

вирус-вымогатель КриптоЛокер CryptoLocker

Вниманию пользователей сети интернет! Выявлен новейший экстремально опасный вирус – вымогатель CryptoLocker.

Принцип его работы полностью аналогичен баннерам – вымогателям, о которых мы уже писали в этом материале. Заражая компьютер пользователя, он полностью блокирует его работу и требует за разблокировку денег.

Отличие от классических банннеров-вымогателей, которые убрать довольно легко даже в случае серьезного поражения системы, CryptoLocker убрать пока нельзя. CryptoLocker – это опаснейшая разновидность «рэнсомвера».

Заразив компьютер, он требует с пользователя 100 долларов или евро, которые необходимо перечислить через платежную систему Bitcoin, либо через систему «пополняемых дебитных карт» «Green Dot MoneyPak».

При этом включается счетчик, отсчитывающий данный вам период (например, 100 часов) для разблокировки компьютера путем введения кода.

В случае если код не будет введён, по истечении времени на таймере, вирус производит перекодирование (криптографическое шифрование) всех файлов на вашем компьютере, включая текстовые файлы, презентации, фото, видео и все иные файлы, могущие представлять хоть какой-то интерес для пользователя. После перекодировки вирус самоуничтожается, а все файлы пользователя превращаются в бесполезный информационный «хлам», восстановить который невозможно. Таким образом, пользователь реально теряет все ценные данные без возможности их восстановления.

После скачивания CryptoLocker устанавливает себя в папку Documents and Settings, затем он производит полное сканирование компьютера и собирает данные обо всех пользовательских файлах необходимого расширения.

CryptoLocker проникает на ваш компьютеры через электронную почту, пиратский соф, музыку, видео, архивы и другие файлы, скачиваемые через сторонние сайты. В почте выглядит это, например, как важное письмо от проверенного отправителя, в соцсетях – как ссылка и т.д.

Мораль: Соблюдайте максимальную осторожность, в настоящий момент вирус неизлечим! Не открывайте незнакомые ссылки, не устанавливайте и не скачивайте пиратский контент!

УВАЖАЕМЫЙ ЧИТАТЕЛЬ!

В заключение убедительно просим вас поделиться данным материалом в социальных сетях, просто нажав кнопочки чуть ниже! Это всего несколько секунд вашего времени, но большое и доброе дело! Ведь каждый ваш клик и репост - минимум несколько человек, спасенных вами от мошенников!
Не секрет, что наш сайт существует только благодаря рекламе, которую вы просматриваете, и ваших личных пожертвований. Если наш материал был для вас хоть немного полезен, а информация, размещенная на сайте - уберегла от мошенников, будем очень признательны за ваше пожертвование в ЛЮБОЙ посильной сумме по форме ниже! Вы можете пожертвовать только ту сумму, которую пожелаете! В разделе "Книга почета" нашего сайта, где будут отражены самые активные и\или крупные спонсоры нашего проекта (это, конечно, только по желанию; любой спонсор вправе остаться полностью анонимным). Именно ваша помощь и поддержка позволит нам и дальше работать на благо людей, раскрывая новые схемы мошенников. Большое вам спасибо за вашу помощь и доброе отношение!

ПОДЕЛИТЬСЯ В СОЦСЕТЯХ:

 

Комментарии (2)

This comment was minimized by the moderator on the site

Га06.
Вчера получил письмо "Задолженность" в нем был файл в архиве WinRAR. Сохранил на комп, затем запустил вложенный в него - договор.scr и капец!!! Все документы на жестких дисках стали иметь формат: "Реквизиты[email protected]_3cu49g", "Спецификация[email protected]_3cu49g" и т.д. Фотографии, рисунки... улетело все. За расшифровку попросили 5к - руб. Почта для связи - [email protected]_3cu49g. Вечер с пивом в инете - дал понять одно - либо плати (не факт что пришлют дешифратор), либо все в топку. В инете решения - нет! Не нашелся еще ГУРУ для борьбы с этой заразой. Для себя решил - платить не буду однозначно. Все что необходимое всегда сохраняю в надежное место, поэтому основные доки в поряде. Но как говорится "тиха Украинская ночь, но сало надо перепрятать!", поэтому в дальнейшем надо подстраховывать ся всегда посерьезнее, как? придумаю.
Всем удачи! и учитесь на чужих ошибках.

Моха
сегодня включил нетбук. И высчкачала такая хрень в текством документе
"привет, старуха шапокляк напоминает тебе! Что если ты дурень удалил заставку рабочего стола то ты еще можешь вернуть свои файлы написав мне на почту: [email protected] буквы которые нужно сообщить для возврата файлов: cet"
Но при этом все идеально работает, вирус нашелся в файле sfsync03.sys он был вроде в папке system32 (win xp) или какая то такая, вообщем в главной системной+удали л с помощью сикленера проц из автозагрузки все стал норм

Некес
мне тоже недавно пришло письмо на почту, но немного другого характера. Типа какой то мужик прислал мне какую-то схему заработка и прикрепленный архив. Насторожило то что получатель пишет не мой электронный адрес, а какой-то левый. Я отправил письмо в спам. и вот теперь думаю, там вирус или просто случилась какая-то ошибка и там реально способ заработка...)

Машнак
30.05.2014 схватил ту же заразу. В файле заказ.rar содержался заказ.scr.Было 1:30 ночи. Я задерживался на работе.
По запаре клацнул мышкой. Когда раздавался звук клика уже понял что ступил, но было поздно.
Проверка корпоративным ESET'ом ничего не дала.
Бегло пробежался по местам загрузки в реестре - ничего не нашел.
Понимал что "зевнул", что трояна схватил, но время до развода мостов (Питер) поджимало.
Решил что потом, завтра проверю. Комп синхронизировал ся с облаком и я его оставил включенным...
Утром позвонили и сказали что в общей сетевой папке появляются странно переименованные файлы. При чем обратное переименование не помогает их открыть.
Я забеспокоился.
Когда доехал до компа сразу обнаружил отсутствие обоев рабочего стола и фарш на нем в виде не читаемых зашифрованных файлов.
Оказалось эта зараза за ночь закодировала 86 000 файлов на локальном диске "C" и потом, полезла в следующий по алфавиту диск "O" (подключенный сетевой диск) - на нем и подавилась. Это общее хранилище с 650 Gb файлов. Там троян успел все же 170 000 файлов покалечить. Но главное - не добрался до моего второго локального диска, который - повезло - имел имя "W". Иначе все было бы гораздо хуже.
Файлы в сетевом хранилище восстановили за час из бэкапа.
То что у меня было на диске "C" конечно жалко, но что-то удалось восстановить, с чем-то пришлось попрощаться.
Тоже решил принципиально не платить!
Сегодня ESET уже распознал эту тварь как трояна.
Но способа восстановить файл к сожалению так и не удалось найти.
Я даже написал утилитку использующую алгоритм RC6.
Запустил виря повторно с мгновенной заморозкой в памяти.
Извлек все строковые переменные связанные с ним, так же из памяти.
Около 7000 строк.
Использовал этот список как набор ключей для дешифровки.
Не помогло.
Может кто поможет разобрать внутренний алгоритм работы этого трояна?
Как он шифрует данные и с помощью какого ключа?
Просмотрев экзескопом, а так же просто в текстовом редакторе эти файлы я обнаружил что они были написаны на Delphi.
Используют сетевые библиотеки Indy. Есть вызовы функции GetTickedCount - ее используют обычно для установки временной задержки.
Думаю вирь сначала создает папку со случайным именем в папке %userprofile%\A pplication Data.
Прописывает исполняемый файл так-же со случайным именем из этой папки в автозагрузку (Run->msconfig->Автозагрузка).
Передает управление этому файлу.
Переименовывает себе в памяти в программу с именем "O" и скрывает из запущенных процессов.
Устанавливает задержку на запуск.
Создает список расшаренных файлов с именами doc,mdb,xml,rtf ,jpg,jpeg,png,p df и пр.
И запускается по срабатыванию таймера.
По завершению должен был себя удалить, но из-за большого количества файлов - не успел.
Если кто умеет дизасемблировать, помогите понять какой алгоритм шифрования он использует и как получает ключ?

Перемещенные комментарии
This comment was minimized by the moderator on the site

ОФИГЕТЬ!!! А че за вирус-некий файл или антивирус???
Я еще вирус знаю(его наверно уже нету):
Серьюрити Сфер. Это антивирус такой:)

Андрей Ясень
Комментариев еще нет! Вам повезло - вы будете первым!

Оставьте свой комментарий

  1. Пожалуйста, напишите ваш отзыв или комментарий. Сайт ВсеАферы.ру не собирает, не обрабатывает и не хранит информацию о пользователях, поэтому все комментарии размещаются без регистрации! Для защиты от спама и размещения противоправной информации, все сообщения проходят премодерацию и размещаются после одобрения администратором. Большое спасибо за ваш комментарий!
Символов: 0
Вложения (0 / 1)
Share Your Location

Одноклассники
 
Твиттер
ВКонтакте