1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Еженедельный вестник

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 14 май 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Криптовымогательские недели (с 19 по 30 сентября)

    На этот раз по технические и календарным причинам неделя у нас получилась большая.

    MarsJoke Ransomware был впервые обнаружен в конце августа как фейковый CTB-Locker, но только с 22 сентября заявил о себе активным распространением в спам-кампаниях. Исследователи заметили, что он подражал CTB-Locker-у в плане графики, шифрования и ряде других моментов. Первое название JokeFromMars ему дал его первый исследователь Darien Huss из Proofpoint, заметив в коде мьютекс "HelloWorldItsJokeFromMars". Примерно неделю в отчетах оно использовалось, потом переименовали на краткое MarsJoke. С ним он и был включен в ID Ransomware. Его цели в США: государственные учреждения, органы местного самоуправления и образовательные учреждения. Вполне возможно, что жертв будет больше и по всему миру, т.к. скринлок, обои, сайт оплаты и пр. созданы вымогателями на 3-5-8 языках мира, в том числе и на русском.

    Вчера вышла статья от ЛК, в которой они назвали этого вымогателя Polyglot из-за использования многоязычных окон и страниц, и, что самое главное, подробно описали его функционал и добавили дешифровщик. Отсылаю любознательных читателей к этой статье.

    Две последних недели были плодовиты на криптовымогателей, о которых можно рассказать лишь парой строк.

    По алфавиту...
    Al-Namrood Ransomware оказался очередной разработкой команды Apocalypse Dev, которые не перестают удивлять исследователей своей наглостью и хамством. Фабиан Восар его тоже дешифровал и обновил свои декрипторы для новых версий Apocalypse и Stampado.

    Cyber SpLiTTer Vbs Ransomware делает вид, что шифрует файлы, на самом деле ничего не шифруется, он просто берёт на испуг и демонстрирует экран блокировки, вымогая 1 биткоин.

    DXXD Ransomware шифрует данные на серверах, которые компрометируются с помощью хакерских атак и путём взлома. К счастью для пострадавших, его удалось дешифровать. См. Дешифровщики в помощь!!!

    FenixLocker Ransomware шифрует данные и использует зашифрованное сообщение "FenixIloveyou" в качестве маркера конца файла. К счастью для пострадавших, Фабиану Восару его удалось дешифровать. См. Дешифровщики в помощь!!!

    Globe Ransomware
    получил обновление. В новой версии файлы после шифрования получают составное имя [random_char].help_you@india.com.[random_char].xtbl . Это может говорить о связи его дэвов с создателями CrySiS Ransomware.

    HelpDCFile Ransomware может вполне оказаться итерацией июльского крипотовымогателя R980, судя только по записке о выкупе, но сведений пока маловато, чтобы сказать наверняка.

    Nagini Ransomware
    является очередной пугалкой, к тому же недоработанной. Может шифровать файлы, но не может их дешифровать. Обнаружен исследователями на ресурсах Даркнета.

    Nuke Ransomware отличился тем, что исходное имя файла, Bitcoin адрес и другая информация добавляется в конец каждого зашифрованного файла. Он переименовывает файлы жертвы случайным образом и добавляет расширение ".0x5bm".

    Princess Locker Ransomware отличился логотипом Princess на сайте оплаты. Некоторые исследователи считают его итерацией ранее известного вымогателя Nemucod, но это пока не подтверждено. Сайт оплаты схож с сайтом Cerber.

    UnblockUPC Ransomware, хоть и был написан малограмотными разработчиками, наделал немало шума. Его распространение вышло за рамки одной страны, пролетев по Европе, США и Японии.

    Буквально накануне...
    CainXPii Ransomware оказался новой вариацией Hitler Ransomware. Требует оплату выкупа списанием 20 евро с карты PaySafeCard. Имеет ошибку в функционале, связанную с .NET Framework, из-за чего работает неправильно.

    Krypte Ransomware материализовался для Германии и немецкоязычных пользователей как вариация уже знакомого читателям Razy Ransomware. Требует 15-20 евро и даёт на уплату выкупа 72 часа. К зашифрованным файлам добавляет расширение .fear.

    KillerLocker Ransomware ориентирован на испаноязычных пользователей. Ставит блокировщик экрана с киллером в обличье клоуна и дает 24 часа на уплату выкупа. К зашифрованным файлам добавляет расширение .rip.

    В отдельных темах...

    Donald Trump Ransomware решил приколоться над жертвами. Создана отдельная тема на SZ.
    Locky Ransomware получил новую итерацию, т.н. Odin-Locky. Создана отдельная тема на SZ.
    XRat Ransomware обновился, но был изучен и по заказу дешифрован командой ЛК. См. тему на SZ.

    TrendMicro обновили свой инструмент Ransomware File Decryptor. Ссылка на описание.

    Источник подробной информации: блог "Шифовальщики-вымогатели".
    Если какого-то описания ещё нет, см. короткий видеоролик тут.
     
    Последнее редактирование: 1 окт 2016
    Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Криптовымогательская неделя (1 - 7 октября)

    Dr. Fucker Ransomware шифрует данные с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все компьютеры атакованной сети, чтобы вернуть файлы. Является приемником SamSam Ransomware, потому наследовал его методы и аппетиты. Ориентирован на организации, но вполне может атаковать и любые другие более мелкие, в том числе внутридомовые сети.

    Fs0ciety Ransomware шифрует данные с помощью AES-256 CBC и 32-bit ключа. Написан на Python. К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety. Оригинальное имя файла не меняются. Записка с требованием выкупа fs0ciety.html размещается на рабочем столе. После шифрования теневые копий файлов удаляются. Не путайте с FSociety, из статьи в августе.

    Hades Locker Ransomware шифрует данные с помощью AES-256. Является приемником разгромленного в Нидерландах правоохранителями WildFire Ransomware. Сайт вымогателей имеет страницы на 6 разных европейских языках. К зашифрованным файлам добавляется расширение по шаблону .~HL[first_5_chars_of_password]. Целевыми являются файлы 380 типов.

    HCrypto Ransomware шифрует данные с помощью AES, а выкуп требует в 0,5 биткоина за дешифровку. Записка с требованием выкупа называется ex3t.pdf. К зашифрованным файлам добавляется расширение .hcrypto. Основан на HiddenTear. Распространяется с помощью email-спама и вредоносных вложений в виде обновления Adobe-программ.

    Kostya Ransomware шифрует данные с помощью AES-256, а выкуп требует в 300 чешских крон с карты PaySafe Card, при неуплате в срок грозят поднять выкуп до 2000 крон. Потому ориентирован на чешских пользователей.

    Фантазия у криптовымогателей похоже иссякает, перешли на имена: Петя, Миша, Барт, Фабиан, Костя... Кто следующий?

    К получившим обновления в виде версий и отдельных моментов относятся:
    Cerber, CryptoLocker 5.1, DXXD, Globe, Locky ...

    Продолжается борьба специалистов по дешифровке, создающих декриптеры, с теми, кто отслеживает их работу и выпускает новые версии вирусов-шифровальщиков. Причём последние не гнушаются ни откровенной матерщины в коде своих поделок, ни шкодливых рисунков, направленных в адрес старатеелй-дешифровщиков. Публиковать это здесь, разумеется, не будем.

    Источник подробной информации: блог "Шифовальщики-вымогатели".
     
    Последнее редактирование: 12 окт 2016
    -SEM- нравится это.

Поделиться этой страницей