1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

ZimbraCryptor: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 22 июн 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    ZimbraCryptor Ransomware

    Этот криптовымогатель шифрует с помощью AES все файлы, расположенные в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 BTC за дешифровку. Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

    Этот вымогатель, скорее всего, устанавливается с помощью взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба "мылятся" на mpritsken[@]priest.com

    emailing-key-info.

    После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в root-папке. Там будет указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

    Содержание записки о выкупе:
     
    Kиpилл и Охотник нравится это.

Поделиться этой страницей