SHA1:
- fbbf8e3877a1bb826be623908fc93e570967b666
Представитель семейства троянских программ, шифрующих файлы на компьютерах и требующих от пользователей деньги за расшифровку. Написан на языке Delphi.
При запуске проверяет наличие работающего процесса VBoxService.exe, в случае обнаружения переходит в режим бесконечной паузы. При запуске с параметром командной строки -d
HKCU\Software\mscloq
Затем с использованием локального прокси-сервера троянец пробует установить соединение с управляющим onion-сервером, расположенным в сети TOR. Шифрование выполняется только в случае успешной установки соединения.
В момент запуска троянец проверяет, запущен ли он из файла mtrea.exe, и, если это не так, создает файл с таким именем в папке %APPDATA%. Если же условие соблюдается, проверяет наличие процесса с таким именем и при его обнаружении завершает работу.
Регистрирует свой исполняемый файл в ветви системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Для шифрования файлов на зараженном компьютере используется библиотека DCPCrypt, при этом применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. Зашифрованным файлам энкодер присваивает расширение .crptxxx, а также сохраняет на диске текстовый файл с именем HOW_TO_DECRYPT.txt следующего содержания:
Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions:
Download tor browser
Run tor and go to: http://vejtqvliimdv66dh.onion
Or you can use tor2web services
http://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0
Расшифровка файлов, зашифрованных этим троянцем, возможна.
Новость о троянце