Job Crypter (extension .css) (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84217
Inscription : 10 sept. 2005 13:57
Contact :

Job Crypter (extension .css) (Crypto-Ransomware)

Message par Malekal_morte » 10 févr. 2016 10:26

Job Crypter est un rançongiciel chiffreur de fichiers ou Crypto-Ransomware, apparu dans l'hexagone en février 2016, il infecte les systèmes d'exploitation Windows et chiffre des fichiers avec l'extension .locked

Notez qu'un autre ransomware utilise aussi l'extension .locked : Ransomware extension .locked.

Les exécutables sont également chiffrés, ce qui pose de sérieux problèmes d'instabilités du système.

Image

Image

Un fichier "Comment débloquer mes fichiers .txt" est ensuite créé contenant les instructions de déblocage.

Image

Les instructions:

Bonjour, nous somme des êtres humains sans emplois, en cherche pas les problèmes,
en veux juste nourrir nos familles, nous vous demandant de ne pas faire des bêtises avec nous,
Parce que ce n'est pas bien pour vous,
Nous avons crypté tous vos fichiers en utilisant un Algorithme personnel et nous demandons de nous Payer une rançon de 300 EURO pour débloquer vos fichiers,
Nous vous garantissons le déblocage totale de vos fichier et ne plus jamais entendre parler de nous,

Le Payement s'effectue en utilisant les cartes de PaySafeCard disponible partout en France,
voici le lien pour trouver rapidement les points de ventes les plus proche de chez vous:
https://www.paysafecard.com/fr-fr/acheter/trouv ... -de-vente/

Toute demande de déblocage sans Payer sera automatiquement rejeté,

Nous acceptons seulement les cartes de 50 EURO et 100 Euro,
Veuillez envoyer les codes des cartes à l'un des e-Mails suivant:

geniesanstravaille@outlook.fr

geniesanstravaille@yahoo.fr

geniesanstravaille@gmail.com

N'oubliez pas de préciser l'identifiant de votre Ordinateur sur le titre du mail, voici votre identifiant: 6A406277

En gis de bonne volonté et pour vous prouver que ce n'est pas une arnaque,
Nous allons décrypter un fichier gratuitement pour vous,
Veuillez nous envoyer un de vos fichiers Crypté en pièce-jointe à l'un des courriel cité au-dessus
et n'oubliez pas de préciser aussi l'identifiant de votre ordinateur pour que nous puissions localiser votre clé de décryptage parmi celle de nos clients.

Vous aurez une repense avec le Code de déblocage dans le même jour du payement.

Veuillez nous excuser pour le désagrément.


Lorsque nous avons récupéré ce malware, la détection était vraiment mauvaise :

SHA256: b47f15d1093fd6466e040d3ee786a18e25f8980d3db33465d2acbafe8b0f6850
Nom du fichier : Locker.exe
Ratio de détection : 3 / 54
Date d'analyse : 2016-02-10 08:06:45 UTC (il y a 1 minute)

Informations comportementales
Antivirus Résultat Mise à jour
AhnLab-V3 Win-Trojan/MDA.630F094C 20160209
TrendMicro TROJ_FORUCON.BMC 20160210
TrendMicro-HouseCall TROJ_FORUCON.BMC 20160210


Cet échantillon possède des fonctionnalités SMTP dont voici le destinataire :
→ from: %CumpterName% <bordeaux@sothis.fr>
→ to: brangiersimonalain@gmail.com
→ to: New Client %VolumeSerialNumber%

L'attaquant utilise le compte courriel de la société toulousaine SOTHIS SAS pour s'envoyer les informations des victimes sur la BAL brangiersimonalain@gmail.com probablement elle même compromise. Sur le compte gmail, un filtre est appliqué sur l'adresse de l'émetteur bordeaux@sothis.fr

Nous recommandons aux victimes de venir s'inscrire sur le forum pour vérifier leurs installations.
Pour les détails techniques, consulter : JobCrypter, la cerise sur le gâteau

Une fois Windows nettoyé, modifiez tous vos identifiants et surveillez vos mouvements bancaires.

Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et autres menaces connues sur la toile, suivre le tutoriel de sécurisation.
=> Sécuriser son Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84217
Inscription : 10 sept. 2005 13:57
Contact :

Re: Job Crypter (extension .css) (Crypto-Ransomware)

Message par Malekal_morte » 22 avr. 2016 09:58

Ce ransomware est toujours actif. L'extension utilisée est maintenant .css
Elle a changée quelques jours après l'ouverture de cette fiche.

Exemple :
2016-04-21 13:44 - 2016-04-21 13:44 - 00002139 _____ C:\Documents and Settings\Bob\Bureau\Cut the Rope.url.css
2016-04-21 13:44 - 2016-04-21 13:44 - 00001915 _____ C:\Documents and Settings\Bob\Bureau\Courrier électronique.lnk.css
2016-04-21 13:41 - 2016-04-21 14:28 - 00001767 _____ C:\Documents and Settings\Bob\ntuser.ini.css
2016-04-21 13:41 - 2016-04-21 13:41 - 00499623 _____ C:\Documents and Settings\Bob\Application DataFileLocker.exe.css
2016-04-21 13:41 - 2016-04-21 13:41 - 00161171 _____ C:\Documents and Settings\Bob\MSSSerif120.fon.css
2016-04-21 13:41 - 2016-04-21 13:41 - 00043291 _____ C:\Documents and Settings\Bob\Application Data\Valeurs séparées par une virgule (Windows).ADR.css
2016-04-21 13:41 - 2016-04-21 13:41 - 00003699 _____ C:\Documents and Settings\Bob\Application Data\wklnhst.dat.css
Côté malware, c'est toujours les mêmes entrées dans le systèmes qui sont créés :
Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System)
Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] ()
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System)
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe
C:\Documents and Settings\Bob\Application Data\Locker.exe
C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe

Quelques samples récupérés cette semaine - Celui-ci dessous deux jours après avoir été envoyés aux antivirus.
SHA256: 069fd1c6e64abe514ed082445b8af9542597ead348d4f950c8562aa1a369a125
File name: sBuild1.exe
Detection ratio: 37 / 57
Analysis date: 2016-04-22 06:04:18 UTC ( 1 hour, 30 minutes ago )

Behavioural information
Antivirus Result Update
ALYac Trojan.GenericKD.3166766 20160422
AVware Trojan.Win32.Generic.pak!cobra 20160422
Ad-Aware Trojan.GenericKD.3166766 20160422
AhnLab-V3 Trojan/Win32.Downloader 20160421
Antiy-AVL Trojan/Win32.TSGeneric 20160422
Arcabit Trojan.Generic.D30522E 20160422
Avast Win32:Trojan-gen 20160422
Avira (no cloud) TR/Agent.ejak 20160422
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
BitDefender Trojan.GenericKD.3166766 20160422
CAT-QuickHeal Trojan.Reconyc.r3 20160422
ClamAV Win.Trojan.Agent-1396210 20160422
DrWeb Trojan.Siggen6.58491 20160422
ESET-NOD32 MSIL/Agent.AIP 20160422
Emsisoft Trojan-Dropper.Win32.Agent (A) 20160422
F-Secure Trojan.GenericKD.3166766 20160422
Fortinet Malicious_Behavior.VEX.100 20160422
GData Trojan.GenericKD.3166766 20160422
Ikarus Trojan.MSIL.Spy 20160422
K7AntiVirus Riskware ( 0049f6ae1 ) 20160421
K7GW Riskware ( 0049f6ae1 ) 20160422
Kaspersky Trojan.Win32.Reconyc.fjwb 20160422
Malwarebytes Trojan.Reconyc 20160421
McAfee RDN/Generic.bfg 20160422
McAfee-GW-Edition RDN/Generic.bfg 20160422
eScan Trojan.GenericKD.3166766 20160422
NANO-Antivirus Trojan.Win32.Siggen6.ebqxpq 20160422
Panda Generic Malware 20160421
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
Sophos Troj/MSIL-GOZ 20160422
Symantec Infostealer.Limitail 20160422
Tencent Win32.Trojan.Reconyc.Htcb 20160422
TrendMicro TSPY_SCREENCAP.BYX 20160422
TrendMicro-HouseCall TSPY_SCREENCAP.BYX 20160422
VIPRE Trojan.Win32.Generic.pak!cobra 20160422
Zillya Trojan.GenericCRTD.Win32.4 20160422
nProtect Trojan/W32.Reconyc.116968 20160421
SHA256: dab3122777363f948bd2bc8b73c422cb9ca3b33e69097d8ac4fc8edfba6de837
File name: Startup32.3.exe.xBAD
Detection ratio: 24 / 56
Analysis date: 2016-04-22 07:32:33 UTC ( 2 minutes ago )

Behavioural information
Antivirus Result Update
AVware Trojan.Win32.Generic.pak!cobra 20160422
Ad-Aware Trojan.GenericKD.3169253 20160422
Arcabit Trojan.Generic.D305BE5 20160422
Avast Win32:Malware-gen 20160422
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
BitDefender Trojan.GenericKD.3169253 20160422
DrWeb Trojan.Siggen6.58585 20160422
ESET-NOD32 MSIL/Agent.ACU 20160422
Emsisoft Trojan.GenericKD.3169253 (B) 20160422
F-Secure Trojan.GenericKD.3169253 20160422
GData Trojan.GenericKD.3169253 20160422
Ikarus Trojan.MSIL.Spy 20160422
Kaspersky Trojan.Win32.Reconyc.fkan 20160422
Malwarebytes Trojan.Reconyc 20160422
McAfee RDN/Generic.bfg 20160422
McAfee-GW-Edition Artemis!Trojan 20160422
eScan Trojan.GenericKD.3169253 20160422
Panda Generic Suspicious 20160421
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160422
Sophos Troj/MSIL-GQC 20160422
Symantec Infostealer.Limitail 20160422
VIPRE Trojan.Win32.Generic.pak!cobra 20160422
Zillya Trojan.GenericCRTD.Win32.4 20160422
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité