 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый вариант шифровальщика STOP появился в декабре; бесплатный декриптор для него еще не создан.
Эксперты фиксируют рост активности Djvu — модификации шифровальщика STOP, появившейся в декабре. На настоящий момент установлено, что зловред попадает на машину жертвы в результате загрузки взломанной программы («кряка») или ПО для показа рекламы.
Windows-вымогатель STOP известен ИБ-сообществу с конца 2017 года. За время своего существования он много раз обновлялся, изменяя расширение, добавляемое к зашифрованным файлам, и имя txt-файла с требованием выкупа.
Файлы, обработанные Djvu, в частности, можно отличить по расширению .djvu (возможны вариации: .uudjvu, .djvut и т. п.). На прошлой неделе появились также образцы, использующие расширения .pdff, .tro и .tfude.
Судя по частоте обращений на ID-Ransomware — бесплатный сервис идентификации шифровальщиков, новая вымогательская кампания вполне успешна. Так, 14 января услугами ИБ-сайта воспользовались более 280 жертв Djvu.
Проведенный в Bleeping Computer анализ показал, что загружаемый вместе с «кряком» или adware инсталлятор шифровальщика устанавливается под произвольным именем в папку %LocalAppData%\. При выполнении он туда же загружает четыре исполняемых файла: 1.exe, 2.exe, 3.exe и updatewin.exe. Первый из них отвечает за нейтрализацию Защитника Windows, второй — за блокировку доступа к ИБ-сайтам, функциональность 3.exe выяснить не удалось из-за отсутствия образца.
Файл updatewin.exe отображает фальшивое окно обновления Windows, призванное отвлечь внимание пользователя во время шифрования файлов и оправдать повышение активности в системе.
При соединении с командным сервером (в ru-домене) Djvu отправляет уникальный ID, сгенерированный на основе MAC-адреса зараженного утройства, и получает ключ для шифрования файлов. Список целевых расширений обширен и включает .exe. Завершив свое черное дело, зловред создает запланированное задание для регулярного повтора процедуры шифрования на случай появления новых файлов.
Имя файла с сообщением и контактами злоумышленников, оставляемого в каждой папке с зашифрованными файлами, для всех вариантов Djvu одинаково — _openme.txt. Сумма выкупа в этом тексте не указана, вымогатели лишь обещают 50%-скидку при обращении к ним в первые три дня после заражения. В качестве контактов для получения инструкций указаны два email-адреса (@india.com и @firemail.cc).
К сожалению, бесплатного способа расшифровки всех файлов после Djvu на настоящий момент не существует. На форуме Bleeping Computer создали отдельную тему в помощь жертвам заражения, но потом объединили ее с темой, посвященной вымогателю STOP.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
