• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

XRat Ransomware

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Вымогательство по-бразильски

Криптовымогатель TeamXRat изначально был ориентирован на португалоязычных (гл. обр. бразильских) пользователей, записки с требованием выкупа назывались Como descriptografar seus arquivos.txt (Как расшифровать мои файлы) и размещались на рабочем столе. В августе я рассказывал о нём в блоге ШВ и недельном обзоре.

Киберпреступники, скрывающиеся за названиями Team XRat и CorporacaoXRat (CorporationXRat), сначала использовали в XRat расширение .C0rp0r@c@0Xr@, в котором было завуалировано название их группы (на португальском языке). Потом расширение поменялось на .__xratteamLucked (точка + два нижних подчеркивания в начале).

Новые версии XRat Ransomware (по версии ЛК Trojan-Ransom.Win32.Xpan) вышли в сентябре и стали использовть новые расширения: в начале сентября .___xratteamLucked (с тремя _), а на днях уже с .____xratteamLucked (с четырьмя _).

brazilian-xrat.png

К ранним версиях шифровальщика специалистами по Crypto-Ransomware были подобраны способы дешифровки и выпущены декрипторы, но сентябрьская версия с .___ xratteamLucked, до сего момента не поддавалась дешифровке. Потому что сначала для проведения шифрования использовался алгоритм XOR, а в сентябрьских версиях уже AES-256 CBC и RSA-2048.

Специалисты ЛК после изучения новых версий согласились помочь пострадавшим компаниям и выпустили декриптер, который пока находится в закрытом доступе.
 
Последнее редактирование:
Назад
Сверху Снизу