Вирус криптолокер CTB-Locker

Здравствуйте уважаемые пользователи Юхака.

Сейчас в сети очень активизировалась вирусная активность вируса вымогателя под названием CTB-Locker.

Будьте очень осторожны при приеме писем не открывайте письма от не доверенных отправителей и не просматривайте вложения , так как данный вирус фактически не определяется.

вот немного описания о данном зловреде.

"стойкая криптография на основе эллиптических кривых. Расшифровать файлы без оплаты невозможно. Стойкость эквивалента RSA-3072, что превышает все аналоги. При этом скорость шифрования значительно выше.
Все ключи одноразовые и внести их в базу нельзя. Ключи абсолютно случайны, коллиции невозможны. У аналогов ключи зашиты в локер или сервер, их можно собрать.
Размещение сервера в onion-домене (TOR), закрыть домен по абузе нельзя, практически невозможно отследить владельца и отключить сервер.
Связь с сервером только после шифрования всех файлов. Невозможен ранний детект по трафику, невозможно блокировать работу локера. Блокирование TOR мешает только оплате юзеру, а не программе. Аналоги соединяются на сервер до крипта и их можно блокировать.

Схема работы локера:
1. Запуск ЕХЕ на машине юзера. Достаточно прав юзера.
2. Генерация случайного ключа шифрования. На машине и в оперативной памяти хранится только публичный ключ. Расшифровать с его помощью файлы нельзя.
3. Шифруются все доступные файлы с заданными расширениями. Проверяются все жесткие и съемные диски, все сетевые шары.
4. При перезагрузке операция продолжается с последнего файла.
5. После обработки всех файлов выводится окно юзеру с описанием его проблемы и схемы оплаты.



Еще раз повторюсь будьте очень внимательны , так как от данного криптолокера панацея если и появится то не очень в скорой перспективе.

Пис.

 

«Лаборатория Касперского» разработала инструмент для восстановления данных, зашифрованных зловредом CoinVault
Новости
Вадим Карпусь14.04.2015 в 12:31
20
«Лаборатория Касперского» разработала инструмент для восстановления данных, зашифрованных зловредом CoinVault

«Лаборатория Касперского» совместно с полицией Голландии создали средство для борьбы с вредоносным ПО CoinVault, вымогающим деньги у своих жертв.

Отметим, CoinVault после попадания на компьютер шифрует данные на накопителе и блокирует доступ к системе. Установка вредоносного ПО, как правило, осуществляется при помощи фишинговых сообщений электронной почты и или ссылок на зараженные веб-сайты. После заражения системы CoinVault позволяет жертве увидеть список зашифрованных файлов и расшифровать один из них для демонстрации возможности расшифровки. Чтобы расшифровать все файлы, от жертвы требуется осуществить платёж на кошелёк Bitcoin.

Подразделение голландской полиции NHTCU (National High Tech Crime Unit) обнаружило управляющий сервер CoinVault, который содержал информацию о ключах дешифровки данных. Благодаря этим данным, специалисты «Лаборатории Касперского» разработали ПО, позволяющее расшифровать данные на зараженных системах. Загрузить его можно по следующему адресу. https://noransom.kaspersky.com/

Отмечается, что ПО для расшифровки данных пока не обеспечивает 100% результат. Однако расследование продолжается, и полиция надеется обнаружить новые ключи, что позволит повысить его эффективность.

 

"Все ключи одноразовые и внести их в базу нельзя." Панацеи быть не может - если произошла шифровка то нужен только ключ)

 

Автор вируса - гений. Все продумал.
ТС, спасибо за статью.

 

Вспоминаю времена пинча и зевса, когда даже криптовки не надо было. Сразу на выходе был файл с размеров в 120кб))

 

Вроде как нашли анлокер , сейчас статейку ищу