Security Lab

Trojan-Ransom.Win32. Cryzip.c

Trojan-Ransom.Win32. Cryzip.c

Троянская программа, шифрующая пользовательские файлы с целью получить выкуп за их восстановление.

Троянская программа, шифрующая пользовательские файлы с целью получить выкуп за их восстановление. Является приложением Windows (PE-EXE файл). Имеет размер 319488 байт. Упакована UPX. Распакованный размер – около 734 КБ. Написана на Delphi.

Инсталляция

После запуска троянец проверяет наличие подключения компьютера к сети Интернет. Для этого выполняется обращение к следующим ресурсам:

fo***gle.hut.ru
www.hut.ru
Если подключение отсутствует, то троянец создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

В противном случае, троянец выполняет следующие действия:

  1. извлекает из своего тела файлы, которые сохраняются в системе как
    %System%\stdbvl30.dll
    (625152 байта; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Cryzip.c")
    %System%\rml32ht.dll
    (16384 байта; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Cryzip.c")
  2. Создает ключи системного реестра:
    [HKLM\Software\Microsoft\Windows
    NT\CurrentVersion\Winlogon\Notify\smlgntfy]
    "DLLName" = "stdbvl30.dll"
    "Logon" = "WLEventLogon"
    "Impersonate" = "0"
    "Asynchronous" = "1"
    Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство процесса "winlogon.exe при каждом следующем старте системы.
  3. Создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

name="doc3">

Деструктивная активность

После следующей перезагрузки системы библиотека "stdbvl30.dll", внедренная в адресное пространство процесса "winlogon.exe", выполняет следующие действия:

  1. обращается по следующим ссылкам:
    http://fo***gle.hut.ru/s2.php
    http://fo***gle.hut.ru/f2.php
    На момент создания описания ссылки не работали.
  2. Архивирует в RAR-архивы с паролем все найденные на локальных дисках компьютера файлы, имеющие следующие расширения:
    .pst
    .rar
    .zip
    .pak
    .gz
    .gzip
    .zipx
    .arj
    .pgp
    .tar
    .arh
    .7z
    .cab
    .lzh
    .djv
    .lzo
    .pdf
    .djvu
    .txt
    .chm
    .xl
    .xlk
    .xls
    .xlsx
    .xlsm
    .rtf
    .doc
    .docx
    .ppt
    .dbf
    .xlw
    .xlc
    .ppt
    .pps
    .wri
    .xsn
    .xsf
    .vsd
    .pab
    .abw
    .docm
    .text
    .mdb
    .mde
    .odc
    .udl
    .dsn
    .adp
    .mda
    .ade
    .asp
    .db
    .db1
    .db2
    .dbf
    .dbt
    .dbx
    .htm
    .html
    .mht
    .mhtml
    .psw
    .pwt
    .pwd
    .jpg
    .jpeg
    .jpe
    .dwg
    .stp
    .kwm
    .key
    .cgi
    .pass
    .dt
    .1cd
    .cdx
    .db3
    .ddt
    .cer
    .usr
    .md
    .dd
    .cdx
    .db3
    .ddt
    .py
    .rb
    .rbw
    .pl
    .pm
    .php3
    .phtml
    .cs
    .asm
    .css
    .vbs
    .sql
    .cgi
    .js
    .php
    .vbp
    .frm
    .bas
    .cls
    .c
    .h
    .hpp
    .cpp
    .dpr
    .dpk
    .dpkw
    .pas
    .dfm
    .xfm
    .bpg
    .cdr
    .cdt
    .cdx
    Файлы, находящиеся в каталогах с именами
    System
    System32
    не архивируются.

    Имена заархивированных файлов имеют следующий вид:

    <оригинальное имя файла>_crypt_.rar
    Зашифрованные пользовательские файлы невозможно использовать в дальнейшем, что дает возможность злоумышленникам вымогать у пострадавших денежные средства за их расшифровку.

    В каталоги с заархивированными файлами троянец помещает файлы с именем "AUTO_RAR_REPORT.TXT" следующего содержания:

    ID: ***-***-***

    ИНСТРУКЦИЯ: «КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ»
    ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯТНО, ЧИТАЙТЕ ЕЩЕ РАЗ.

    Это автоматический отчет созданный программой зашифровавшей ваши файлы. При просмотре нелегального порнографического материала, ваш компьютер подвергся атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 40 символов. Взлом архивов невозможен, так как для шифрования используется надежный алгоритм AES. Программы для восстановления удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы - бессмысленно. Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно. Они не знают пароль, поэтому ни чем вам не помогут.

    Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы.

    В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и запустить программу, которая автоматически расшифрует все ваши файлы.

    Для получения пароля отправьте письмо на m***00@gmx.com или da***om@gawab.com В теме письма напишите: "ID: ***-***-***"

    Программу для автоматической расшифровки вы можете скачать по ссылкам: http://depositfiles.com/files/m4et618ej http://www.sharemania.ru/0135226 http://webfile.ru/4346046dGу
    Список зашифрованных файлов троянец записывает в файл:
    C:\List_of_files.log

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!