Новый крипто-вирус

Сегодня столкнулся с очередным вирусом-шифровальщиком. Вредоносный код был прислан в виде заархивированного javascript-скрипта во вложении к письму.

Как стало известно, этот скрипт подгружает программу-шифровальщик на компьютер жертвы. После чего работает уже сам шифровальщик, шифруя файлы с расширением .doc; .xls; .pdf; .jpg; .docx; .xlsx и, возможно, другие.
К зашифрованному файлу дописывается расширение .crypted. В корне доступных для записи дисках создаются файлы uncrypt.txt следующего содержания:

ВНИМАНИЕ! ВСЯ ВАША ИНФОРМАЦИЯ БЫЛА ЗАШИФРОВАНА С ПОМОЩЬЮ САМОГО КРИПТОСТОЙКОГО АЛГОРИТМА В МИРЕ!

Ни один программист, системный администратор или сотрудник правоохранительных органов не сможет востановить Ваши файлы.
Расшифровать файлы можно только при помощи специального ключа, который есть исключительно у нас.
Для получения ключа, Вам необходимо написать нам по адресу UNCRYPTFILES@GMAIL.COM
Любые другие действия абсолютно бесполезны.
1. Ключ имеет срок годности 7 КАЛЕНДАРНЫХ ДНЕЙ. По факту окончания данного срока, расшифровать Ваши файлы будет невозможно, ВЫКЛЮЧЕНИЕ/ПЕРЕЗАГРУЗКА компьютера может привести к потере некоторых файлов.
2. Чем быстрее Вы выйдете с нами на связь и выполните наши условия, тем дешевле Вам обойдется восстановление.
3. Все рабочие файлы, представляющие ценность, скопированы на наши удаленные сервера и в случае Вашего отказа от сотрудничества они попадут в руки к Вашим конкурентам, которые найдут им применение.
4. Письма с угрозами Вам ничем не помогут, а могут только испортить наше настроение :(

---------------------------------------------------------------

WARNING!
All your information is encrypted using the MOST STRONG ENCRYPTION algorithm in the world.
Neither programmer, nor system administrator, nor law officer can deal with it.
Decrypting of files is possible only by using special key, which is possessed only by us.
For getting decryption key, you need to write a e-mail to UNCRYPTFILES@GMAIL.COM
Any other action is useless.
1. The decryption key has shelf life in 7 days. Upon the end of this period, decryption of your files will be impossible.
2. The faster you contact us and follow our requires, the cheaper will be the price for the decryption.
3. All working files which important are remotely copied to our remote server. In case of your failure to cooperate with us, files will be transmitted to your competitors, who will find them useful.
4 . Threatening letters won’t help you, but can only spoil our mood :(

---------------------------------------------------------------

ENCRYPTED: 12.05.2014 / 18:08

В базе virustotal.com пока присутствуют лишь две записи о распознавании js-скрипта: Trojan-Ransom.BAT.Agent.m/Trojan.Script.Agent.cxczea.
Метода лечения (дешифрации) зараженных файлов на данный момент (13.05.2014-14:00 GMT+03:00) нет.

При первых признаках заражения рекомендуется:
1. Немедленно выключить компьютер
2. Немедленно сделать резервную копию важных данных на съемный носитель. В случае с крипто-вирусами важна каждая минута. Поэтому рекомендуется отключить зараженную систему, производить копирование данных, например, загрузившись с livecd-дистрибутива.
3. Проверять компьютер антивирусной программой рекомендуется только после однозначной идентификации вируса. Содержащие вирусы файлы перемещайте в карантин. При необходимости, это позволит точнее идентифицировать вирус, а значит увеличить шансы восстановить данные.

Дополнительную информацию о механизме работы крипто-вирусов смотрите тут: http://forum.esetnod32.ru/forum35/topic11264/

This entry was posted in Без рубрики by baduser. Bookmark the permalink.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*