• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

BlackShades Crypter: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#1
Шифровальщик-вымогатель BlackShades Crypter

Этот новый шифровальщик имеет также второе название SilentShade, полученное по имени расширения .silent, которое добавляется к зашифрованным файлам - документам, PDF, фотографиям, аудио-видео, общим сетевым папкам и пр. Сами вымогатели именуют данный шифровальщик BlackShades Crypter.

Файлы шифруются с помощью AES-256 (ключ RSA-4096). Требуемый выкуп 0.07 BTC или $30. Срок уплаты - 96 часов.

SilentShade удаляет теневые копии файлов и отключает восстановление системы, добавляет себя в автозагрузку, деактивирует диспетчер задач. Может распространяться как поддельное видео, поддельные краки и патчи.

Записки с требованием выкупа Hacked_Read_me_to_decrypt_files.Html генерируются двуязычными - на английском и русском. Причем русский текст настолько корявый, что даже "ломаным" русским его можно назвать с большой натяжкой. Дополнительные файлы "YourID.txt" и "Ваш идентификатор" содержат ID, присвоенное пострадавшему ПК.

Список файловых расширений, подвергающихся шифрованию:
7z, .aac, .AAC, .ach, ... .avi, .AVI, .back, .bak, .bay, .bz2, .... .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, ... .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .... .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, ... .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx...
Добавлено позже: Примечательно, что в декодированных строках кода содержатся русские слова ("вы не можете взломать меня, я очень жёсткий") и даже якобы московский адрес хакерской группы (Hacked by Russian Hackers in Moscow Tverskaya Street). Последнее выглядит или смешным, или умышленно сделанным. Где вы видели хакеров, которые дают свой домашний адрес тем, кому они досаждают? Ага и ключ от квартиры, где деньги лежат. :D Впрочем, Тверская улица довольно протяжённа - ищи свищи там этих хакеров.