• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

ZimbraCryptor: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
ZimbraCryptor Ransomware

Этот криптовымогатель шифрует с помощью AES все файлы, расположенные в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 BTC за дешифровку. Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

Этот вымогатель, скорее всего, устанавливается с помощью взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба "мылятся" на mpritsken[@]priest.com

emailing-key-info.png

После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в root-папке. Там будет указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

Содержание записки о выкупе:
Hello, If you want to unsafe your files you should send 3 btc to 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 and an email to mpritsken@priest.com with... public key here...

 
Назад
Сверху Снизу