Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред необычен тем, что после запуска ищет доступные Samba-серверы и через них добирается до сетевых дисков.
В отличие от других вымогательских программ, NamPoHyu Virus после запуска ищет доступные серверы Samba и шифрует данные на сетевых дисках, а не на зараженном компьютере.
Первые атаки нового шифровальщика были зафиксированы в прошлом месяце — на тот момент зловред носил имя MegaLocker Virus. Отыскав подходящий Samba-сервер, он пытался подобрать пароль для доступа и в случае успеха начинал удаленно шифровать файлы.
Установлено, что шифрование в данном случае производится 128-битным ключом AES в режиме CBC. К имени модифицированных файлов MegaLocker добавляет расширение .crypted. Зловред также создает записку с требованием выкупа — !DECRYPT_INSTRUCTION.TXT, которую помещает во все папки с зашифрованными файлами.
За возможность возврата данных операторы MegaLocker требовали 250 долларов в биткойнах с физических лиц и $800 с юридических. Чтобы доказать, что жертва — частное лицо, она должна была вместе с ID выслать на адрес @firemail.cc свое фото, сделанное во время праздника, занятия любимым делом и т. п.. Вымогатели также выражали готовность бесплатно расшифровать пару файлов — для пробы.
В начале апреля зловред был переименован в NamPoHyu Virus и сменил расширение, добавляемое к зашифрованным файлам (теперь оно отражает его новое название — .NamPoHyu). Имя файла с требованием выкупа осталось прежним, а текст сообщения несколько изменился. В нем теперь нет контактного email-адреса, вместо этого жертве предлагают загрузить Tor Browser и через него зайти на страницу с дальнейшими инструкциями.
Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer выяснил, что на onion-странице посетителям предоставляется все та же возможность проверить эффективность дешифратора до оплаты, с указанием того же контактного адреса (@firemail.cc). В txt-записке вымогатели подчеркивают: «У нас нет причин обманывать вас после получения выкупа, мы же не варвары и не враги собственному бизнесу».
Сумма выкупа для частных лиц осталась прежней, для организаций повысилась до $1000. Жертвам также ограничили время оплаты десятью днями с момента пробной расшифровки.
Поиск через Shodan, проведенный в Bleeping Computer, показал свыше 500 тыс. Samba-серверов, открытых для злоупотреблений. Треть из них хостится в России.
Для оказания помощи жертвам заражения NamPoHyu/MegaLocker на форумах Bleeping Computer открыта новая тема. По данным Абрамса, способ восстановления файлов, зашифрованных этим зловредом, уже найден, так что в скором времени можно ожидать появление бесплатного декриптора.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |