Crypy ransomware dodeli edinstven ključ vsaki šifrirani datoteki

Video: Webinar - How Symantec Detected and Prevented the WastedLocker Ransomware Attack 2024

Video: Webinar - How Symantec Detected and Prevented the WastedLocker Ransomware Attack 2024
Anonim

Ko se zli hekerji dolgočasijo, se ne ustavijo, dokler ne najdejo novih načinov, kako narediti škodo in zaslužiti denar s hrbta svojih žrtev. Nova grožnja je sejanje strahu med uporabniki interneta in je različica odkupa, ki so jo poimenovali "CryPy", napisana v jeziku Python. Za razliko od druge zlonamerne programske opreme vsaki datoteki, ki je šifrirana v sistemu žrtve, dodeli enkraten ključ in ga je zelo težko dešifrirati.

Raziskovalec AVG Jakub Kroustek je na svoj račun na Twitterju opozoril, da je CryPy objavil, da je bila ta divjad opažena v naravi. Zdi se, da CryPy sestavljata dve datoteki: boot_common.py, ki se uporablja za beleženje napak v sistemu Windows in encryptor.py, ki je omarica in vsebuje številne funkcije. Zdi se, da v Izraelu obstaja spletni strežnik, ki je bil ogrožen zaradi ranljivosti pri upravljanju vsebine (Magento), hekerji pa so strežnik uporabili za lažne napade.

Verjamejo, da stojijo nekateri napadi na hebrejsko govoreče razvijalce, ki so lahko ukradli poverilnice Paypala in jih nato posredovali na oddaljeni strežnik v Mehiki, ki vsebuje drugačno upravljanje vsebine, vendar isto tehniko nalaganja datotek. Kar zadeva CryPy, ko okuži sistem, onemogoči funkcije, ki ponavadi prenehajo zlonamerno programsko opremo, na primer Orodja registra, Upravitelj opravil, CMD in Zaženi. Po tem šifrira datoteke in za vsako šifrirano datoteko dodeli enkraten ključ. Nato žrtvam pošljejo odkupnino, v kateri piše:

"Vse vaše datoteke so šifrirane z močnimi čipi. Dešifriranje datotek je možno le s programom za dešifriranje, ki je na našem tajnem strežniku. Upoštevajte, da se naključna datoteka vsakih 6 ur trajno izbriše. Hitrejši kot boste, manj datotek boste izgubili. Tudi v 96 urah bo ključ trajno izbrisan in ne bo mogoče obnoviti datotek. Če želite prejeti svoj program za dešifriranje, se obrnite na enega od e-poštnih sporočil: 1. m4n14k @ sigaintorg 2. blackone @ sigaintorg. Samo sporočite svoj identifikacijski ID in dali vam bomo naslednje navodilo. Vaš osebni identifikacijski ID:"

Ni znano, ali je odškodninska programska oprema še naredila žrtve, vendar je pomembno, da namestite zmogljivo programsko opremo proti ransomware, da se izognete tem napadom.

Crypy ransomware dodeli edinstven ključ vsaki šifrirani datoteki