KimcilWare: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 31 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель KimcilWare: Веб-сайты под угрозой

    Обнаружено новое вымогательского ПО KimcilWare, которые направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. В настоящее время способ компрометации сайтов ещё неизвестен. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery, уже "засветилось". Но, как уже ранее говорилось в теме, не исключается вероятность того, что есть программная прокладка-заготовка в самом Magento, как и во всех других CMS.

    Веб-файлы пострадавшего сайта шифруются с использованием алгоритма Rijndael (AES), а затем требуется выкуп в пределах от $ 140 до $ 415, в зависимости от версии, которой сайт был заражен. Пока известны только две версии сценариев для шифрования сайтов.

    ransom-note.png
    Рис.1. Так выглядит уведомление, выводимое после шифрования

    Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. выше), и требует выкуп в размере 140 долларов США. Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

    encrypted-files-in-folder.png
    Рис.2. Содержимое веб-папки с зашифрованными файлами

    Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, специальный файл с именем README_FOR_UNLOCK.txt, содержащий инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

    Вымогательская записка README_FOR_UNLOCK.txt:
    Перевод вымогательской записки:
    К сожалению, пока не существует бесплатного способа расшифровки веб-файлов.

    [​IMG] В настоящее время, владельцы интернет-магазинов, работающих на Magento, должны убедиться, что они имеют сильные пароли для учетных записей администратора, и должны как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для версии, на которой они работают.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.

Поделиться этой страницей