. NET, підставі вимагачів сімей шифрувати файли користувачів через репозитарії відкритим вихідним кодом

Computer Security News

Zscaler безпеки експерти попереджають, що двох недавно знайшов. NET, підставі вимагачів сімей шифруєте файли користувачів за допомогою відкритого вихідного коду.

Шкідливих програм сімей називаються вихору і BUGWARE і вони були помічені в прямому нападу, здійсненого через спам-листи, що містять шкідливі URL-адреси.

Вихор і BUGWARE обидва складаються в корпорації Майкрософт проміжне мови (MSIL) і були упаковані з так званих Пакер ‘Confuser’.

Згідно з Zscaler аналізу вихрові написаний на польській і він використовує AES-256 шифр для шифрування, зображення, аудіо, відео, документів та інших файлів потенційно важливі дані на комп’ютері жертви.

Аналогічним чином вимагачів інші варіанти, вихрові крапель викуп Примітка як тільки він завершив процес шифрування інформування потерпілого на як можна відновити свої дані і, як відправити платіж викупу.

На вимагачів дозволяють користувачам розшифрувати двох своїх файлів для вільного і вимагає $100 викуп, який напевно збільшується до $200 протягом чотирьох днів. Шкідливих програм жертв просять зв’язатися з хакерами за допомогою адреси електронної пошти Hc9@2.pl або Hc9@goat.si.

Встановлені на системі, вихрові вимагачів намагається домогтися наполегливість шляхом створення, запис реєстру, а також реєстру, названий “AESxWin.” Крім того, шкідливі програми було помічено видалити точні копії, запобігаючи відновлення їх даних без сплати викупу.

Під час до шкідливих командування і управління (C & C) аналіз зв’язку безпека експерти плямистий шкідливі програми надсилання відомостей про систему й запитують пароль використовується для шифрування і дешифрування ключ API.

Згідно Zscaler вихровий вимагачів базується на AESxWin – безкоштовна утиліта шифрування та розшифрування розміщення на GitHub і розроблений Єгипетський розробник Eslam Хамуда. З цієї причини зашифровані файли можна дешифрувати за допомогою AESxWin, якщо відомий пароль, який використовується для шифрування.

BUGWARE-вимагачів на основі відкритим вихідним кодом приховані рвати код, яка була використана для створення інших сімей вимагачів якийсь час назад.

BUGWARE також використовує неприпустимий сертифікат прикидаючись для газу INFORMATICA LTDA, просять його жертви, платити еквівалент тисячі бразильських реалів в Monero.

На вимагачів складає Список доріжок для шифрування і зберігає його у файл з назвою Criptografia.pathstoencrypt і шукає всі фіксованої мережі і знімних дисків, додаючи всі ці шляхи до списку.

Експерти також помітили, що BUGWARE було створення ключа шифрування і за допомогою алгоритму AES 256-бітного шифрування файли користувачів, а також перейменування зашифрованими файлами. AES ключ шифрується теж, використовуючи RSA відкритий ключ, і закодованих методом base64 ключ зберігається в реєстрі.

Для того, щоб досягти наполегливість, BUGWARE вимагачів створює запустити ключ, який гарантує, що він виконується щоразу, коли користувач входить на комп’ютер. У випадку, якщо шкідливі програми виявляє будь-яких знімних дисків, вона падає копію себе на них, названий “fatura vencida.pdf.scr”.

Крім того, BUGWARE змінює жертви тло робочого стола за допомогою файлів зображень, завантажених з “i[.]imgur.com/NpKQ3KZ.jpg”.


Leave a Reply

Your email address will not be published. Required fields are marked *