Phantom: as is it

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Kozy.Jozy Ransomware
302.png
ориентирован на русскоязычных пользователей и отличился использованием алгоритма RSA-2048 в шифровании файлов
Есть модификация (или прародитель) с меньшим числом подверженных шифрованию типов файлов. У зашифрованных файлов добавляется расширение .phantom

Примеры тем:
Поймала вирус с расширением PHANTOM - Уничтожение вирусов
Шифровальщик с расширением phaentom [Hoax.Win32.ArchSMS.codmv ] (заявка № 201301)
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Надо уточнить у Dragokas. Он на виртуалке запускал. По коду я не вижу установку картинки.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,612
Реакции
6,051
Баллы
808
.phantom не устанавливает фон рабочего стола.
Вместо этого он помещает в автозапуск и на рабочий стол инфу для восстановления через почту:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID -
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
Dragokas, чего-то не то тестировал.
Процитированная фраза с почтой flsunlocker[@]yahoo.com относится к другому криптовымотелю — ZCrypt. И скопирована оттуда же.
Со дня публикации в блоге информации прошлый месяц. За это время можно 10 новых версий вымогателей выпустить.
Если это новая версия ZCrypt или его итерация phantom делают, то данная информация должна быть соответствующим образом оформлена и опубликована в соответствующей теме.

{Перенес посты в отдельную тему}
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Нет у phantom функционала сетевого червя.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
В блоге про ZCrypt всё написано:
в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа ...более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048!
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов...
И далее. У мартовского варианта не было функционала сетевого червя, не было скринлока, текст записки совпадает.
Это не KozyJozy, и если это и не ZCrypt, и ранний ZCrypt, то точно какой-то Phantomas. :Biggrin:
Кидайте на gethub, посмотрим.
 
Сверху Снизу