SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Реакции
- 6,522
Шифровальщик-вымогатель KimcilWare: Веб-сайты под угрозой
Обнаружено новое вымогательского ПО KimcilWare, которые направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. В настоящее время способ компрометации сайтов ещё неизвестен. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery, уже "засветилось". Но, как уже ранее говорилось в теме, не исключается вероятность того, что есть программная прокладка-заготовка в самом Magento, как и во всех других CMS.
Веб-файлы пострадавшего сайта шифруются с использованием алгоритма Rijndael (AES), а затем требуется выкуп в пределах от $ 140 до $ 415, в зависимости от версии, которой сайт был заражен. Пока известны только две версии сценариев для шифрования сайтов.
Рис.1. Так выглядит уведомление, выводимое после шифрования
Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. выше), и требует выкуп в размере 140 долларов США. Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.
Рис.2. Содержимое веб-папки с зашифрованными файлами
Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, специальный файл с именем README_FOR_UNLOCK.txt, содержащий инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.
Вымогательская записка README_FOR_UNLOCK.txt:
Перевод вымогательской записки:
К сожалению, пока не существует бесплатного способа расшифровки веб-файлов.
В настоящее время, владельцы интернет-магазинов, работающих на Magento, должны убедиться, что они имеют сильные пароли для учетных записей администратора, и должны как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для версии, на которой они работают.
Обнаружено новое вымогательского ПО KimcilWare, которые направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. В настоящее время способ компрометации сайтов ещё неизвестен. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery, уже "засветилось". Но, как уже ранее говорилось в теме, не исключается вероятность того, что есть программная прокладка-заготовка в самом Magento, как и во всех других CMS.
Веб-файлы пострадавшего сайта шифруются с использованием алгоритма Rijndael (AES), а затем требуется выкуп в пределах от $ 140 до $ 415, в зависимости от версии, которой сайт был заражен. Пока известны только две версии сценариев для шифрования сайтов.
Рис.1. Так выглядит уведомление, выводимое после шифрования
Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. выше), и требует выкуп в размере 140 долларов США. Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.
Рис.2. Содержимое веб-папки с зашифрованными файлами
Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, специальный файл с именем README_FOR_UNLOCK.txt, содержащий инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.
Вымогательская записка README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: 111111111111111111111111111111111
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy
Перевод вымогательской записки:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБСЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC Адрес: 111111111111111111111111111111111
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin, и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надею, вам понравится
К сожалению, пока не существует бесплатного способа расшифровки веб-файлов.