MSGID: 2:5003/134 441bbd1e

PID: GED+W32 1.1.5-20020105

CHRS: CP866 2

RealName: Андрей Анатольевич

TID: FastEcho 1.46.1 25003134
Приветствую тебя, All !

Cryzip: кошелек или информация?
dl // 14.03.06 19:06
Обнаружен новый троян, требующий 300$ в качестве выкупа за восстановление пользовательских данных. Впервые подобная схема была опробована еще в 89 году, воспроизведена в прошлом году трояном PGPcoder, и вот теперь у нас появилась третья ласточка.
Cryzip ищет в зараженной системе пользовательские документы (список достаточно большой, включает существующие архивы, текстовые файлы, разумеется, документы MSOffice и файлы с изображениями), после чего архивирует каждый файл в запароленный zip-архив, оставляя в оригинальных файлах лишь текст "Erased by Zippo! GO OUT!!!". Кроме того, в каждом каталоге появляется файл AUTO_ZIP_REPORT.TXT, содержащий инструкции по использованию системы онлайновых платежей E-Gold для передачи выкупа (предлагается список из сотни с лишним аккаунтов). В нем же пользователю рассказывается, что информация зашифрована паролем длиной более 10 символов, что делает попытки его подбора бессмысленными, и что обращение в полицию бесполезно, поскольку она все равно не поможет восстановить потерянные данные.
Hа самом же деле пароль лежит совершенно открыто в dll, входящей в состав трояна, и представляет собой строчку "C:\Program Files\Microsoft Visual Studio\VC98" - поскольку строчку типа этой можно зачастую встретить в программах, скомпилированых VC6, автор посчитал, что на нее мало кто обратит внимание.
Источник: LURHQ Threat Intelligence Group

С уважением,
          *Andrew Sohrannyh* !

... - Схватить за жабpы могут только того, кто попался на удочку.
--- np: Therion - Crowning Of Atlantis[stopped]
* Origin: Пришла надушенная, а ушла занюханная. (2:5003/134)
SEEN-BY: 5003/17 34 38 52 53 57 76 81 82 83 84 117 132 133 134 135 138 151
SEEN-BY: 5003/180 5014/33

PATH: 5003/134 34