Два опасных вируса: Koobface и Cryzip

«Лаборатория Касперского» предупреждает о всплеске двух опасных вирусов: червя Koobface, активно заражающего сайты социальных сетей и троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы.
Первый из зловредов, Koobface, атакует такие популярные порталы как Facebook и Twitter, и использует взломанные сайты в качестве собственных командных серверов. В течение трёх последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки, однако они по-прежнему используются для посылки удалённых команд и обновлений на все компьютеры, заражённые данным червём.
Сначала количество работающих командных серверов червя постоянно снижалось: 25 февраля их было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста.

Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами. В первую очередь количество серверов увеличилось в США – их доля выросла с 48% до 52%.

Второй опасный вирус, Cryzip, попадает на компьютеры пользователей через сайты, содержащие «взрослый» контент. Проникну в систему, троянец начинает поиск по нескольким десяткам популярных расширений (rar, zip, 7z, pdf, djvu, txt, xls, xlsx, rtf, doc docx, htm, html, mht, jpg, jpeg и другим). Для каждого найденного файла создаётся архив < имя_оригинального_файла>«_crypt_.rar», затем оригинал удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2000 рублей с помощью SMS-сообщения. При этом вирус демонстрирует следующее сообщение:

«ID: ***-***-***
Это автоматический отчет созданный программой зашифровавшей ваши файлы.
При просмотре нелегального порнографического материала, ваш компьютер подвергся атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 40 символов.
Взлом архивов невозможен, так как для шифрования используется надежный алгоритм AES. Программы для восстановления удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы — бессмысленно. Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно. Они не знают пароль, поэтому ни чем вам не помогут.
Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы. В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и запустить программу, которая автоматически расшифрует все ваши файлы.
Для получения пароля отправьте письмо на ****@gmx.com или ****@gawab.com
В теме письма напишите: «ID: ***-***-***»»

Данная программа была обнаружена 13 марта и детектируется антивирусами как Trojan-Ransom.Win32.Cryzip.c ("Антивирус Касперского), Trojan.Cryzip (Dr. Web) или Win32/Cryzip.A trojan (Nod32). Для предотвращения заражения всем пользователям рекомендуется обновить базы антивирусных программ.
По данным «Лаборатории Касперского», случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.
У пострадавших пользователей есть возможность разблокировать данные, воспользовавшись бесплатным генератором паролей. Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» – идентификатор (ID), записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы».


Рекомендуем почитать: