Избранное сообщение

Фетісов В. С. Комп’ютерні технології в тестуванні. Навчально-методичний посібник. 2-ге видання, перероблене та доповнене / Мои публикации

В 10-х годах я принимал участие в программе Европейского Союза Tempus "Освітні вимірювання, адаптовані до стандартів ЄС". В рамк...

Благодаря Интернету количество писателей и поэтов увеличивается в геометрической прогрессии. Поголовье читателей начинает заметно отставать.

воскресенье, 27 июля 2014 г.

«Лаборатория Касперского» обнаружила абсолютно новое семейство программ-вымогателей. Обновлено 31.05.15

27.07.14. Эксперты из «Лаборатории Касперского»  сообщили  об обнаружении нового семейства вредоносного ПО, использующегося для вымогательства. Троян Onion (авторское название - CTB-Locker) является одним из самых сложных шифровальщиков и обладает характеристиками, позволяющими назвать его оригинальной разработкой.
При создании вредоноса его авторы использовали как уже известные техники (требование выкупа в Bitcoin), так и совершенно новые, нетипичные для подобного ПО. Особенностью Onion является то, что C&C-сервер скрыт в сети Tor, что намного усложняет обнаружение злоумышленников.
Расшифровка файлов, зашифрованных вредоносом, невозможна даже при перехвате трафика между ним и сервером из-за необычной криптографической схемы. Кроме того, он сжимает файлы перед тем, как их зашифровать, что также нетипично для программ-вымогателей.
Схема работы трояна типична для ПО, использующегося в вымогательских целях. Попав на систему, он копирует себя в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler). Осуществляет поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений, а затем шифрует их. После этого пользователь получает уведомление с требованием выкупа и списком зашифрованных файлов.
Примечательно, что Onion устанавливает на рабочий стол жертвы изображение AllFilesAreLocked.bmp.




05.02.15. В комментариях к посту у народа возникают вопрос о том, возможно ли расшифровать зашифрованную вирусом информацию. Понятно (во всяком случае, мне), что сделать это невозможно. И вот сегодня мне попадается любопытная информация с форума Dr.Web, которая не то, чтобы что-то для меня меняет, но представляет собою все же дельные советы, с которыми можно ознакомиться по ссылке http://fetisovvs.blogspot.com/2015/02/blog-post_5.html

Источник: сайт Security Lab (http://www.securitylab.ru)


Еще по теме: 

5 комментариев:

  1. Здравствуйте, помогите пожалуйста. Мои файлы были зашифрованы с CTB-Locker /Onion/.Kak я могу расшифровать файлы без уплаты bitcoint?

    ОтветитьУдалить
  2. Попробуйте http://www.remove-pcvirus.com/ru/udalit-ctb-locker/ Думаю, должно пройти. А вообще создайте загрузочный диск или флешку с Dr.Web. Как это сделать я описывал в статье Восстанавливаем систему с Live-накопителей/ Ее можно прочитать по ссылке http://www.kv.by/content/321020-vosstanavlivaem-sistemu-s-live-nakopitelei

    ОтветитьУдалить
  3. Здравствуйте! На днях и со мной произошла эта беда - десятки тысяч фалов зашифрованы. Есть реальные способы восстановить файлы? Чтоб не выходить на вымогателей.. Или можно забыть об утерянных файлах? Спасибо за ответ!

    ОтветитьУдалить
  4. Увы, но ничего хорошего сказать вам не могу: пока я еще не встречал дешифровальщика этой заразы. Как уничтожить CTB-Locker, я писал выше в комментариях, да и в самом посте добавил ссылку на пост про избавление от трояна.

    ОтветитьУдалить
  5. http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#restore

    ОтветитьУдалить