Программное обеспечение

Троянец-блокировщик Cryzip: ЛК предоставляет бесплатный деблокер

13 марта аналитиками ЛК была обнаружена новая модификация троянца Cryzip Trojan-Ransom.Win32.Cryzip.c. Эта вредоносная программа упаковывает файлы пользователя в запароленные zip-архивы.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив _crypt_.rar, затем оригинал удаляется без возможности восстановления. Разархивировать файлы можно с помощью специальной программы, созданной авторами зловреда. За пароль от нее злоумышленники требуют 2000 рублей. Программа выложена на файлообменных серверах. Для ее активации необходимо ввести код, который будет получен в переписке с авторами зловреда после произведения оплаты. Адрес и способ оплаты указываются в письме.

За последние полгода количество вредоносных программ-вымогателей значительно возросло, причем появилась тенденция к их глобальному распространению. Программы, подобные Cryzip, перестали быть национальной проблемой. Если прежде 90% жертв подобных зловредов составляли российские пользователи, то сейчас атакам подвергаются пользователи в 143 странах мира. На прошедшей неделе 23% заражений пришлось на зарубежные страны, в числе которых оказались Англия, Франция, Италия, Испания, Португалия, Польша, США, Мексика, Египет, Саудовская Аравия, Индия и Япония.

По нашим данным, случаи заражения Cryzip были зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

Для предотвращения заражения пользователям продуктов «Лаборатории Касперского» рекомендуется обновить антивирусные базы.

В помощь тем, чьи компьютеры уже заражены зловредом, специалистами «Лаборатории Касперского» разработали генератор паролей для расшифровки архивов.

Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» — идентификатор (ID), записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы»:

Текст сообщения автоматически генерируемого троянцем:

Троянец-блокировщик Cryzip: ЛК предоставляет бесплатный деблокер

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике