• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

BlackShades Crypter: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Решения
1
Реакции
6,526
Шифровальщик-вымогатель BlackShades Crypter

Этот новый шифровальщик имеет также второе название SilentShade, полученное по имени расширения .silent, которое добавляется к зашифрованным файлам - документам, PDF, фотографиям, аудио-видео, общим сетевым папкам и пр. Сами вымогатели именуют данный шифровальщик BlackShades Crypter.

Файлы шифруются с помощью AES-256 (ключ RSA-4096). Требуемый выкуп 0.07 BTC или $30. Срок уплаты - 96 часов.

SilentShade удаляет теневые копии файлов и отключает восстановление системы, добавляет себя в автозагрузку, деактивирует диспетчер задач. Может распространяться как поддельное видео, поддельные краки и патчи.

Записки с требованием выкупа Hacked_Read_me_to_decrypt_files.Html генерируются двуязычными - на английском и русском. Причем русский текст настолько корявый, что даже "ломаным" русским его можно назвать с большой натяжкой. Дополнительные файлы "YourID.txt" и "Ваш идентификатор" содержат ID, присвоенное пострадавшему ПК.

Список файловых расширений, подвергающихся шифрованию:
7z, .aac, .AAC, .ach, ... .avi, .AVI, .back, .bak, .bay, .bz2, .... .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, ... .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .... .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, ... .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx...

Добавлено позже: Примечательно, что в декодированных строках кода содержатся русские слова ("вы не можете взломать меня, я очень жёсткий") и даже якобы московский адрес хакерской группы (Hacked by Russian Hackers in Moscow Tverskaya Street). Последнее выглядит или смешным, или умышленно сделанным. Где вы видели хакеров, которые дают свой домашний адрес тем, кому они досаждают? Ага и ключ от квартиры, где деньги лежат. :D Впрочем, Тверская улица довольно протяжённа - ищи свищи там этих хакеров.

 
Назад
Сверху Снизу